Configure la Alta disponibilidad FTD en los dispositivos ... · Paso 12. Haga lo mismo para la...

Configure la Alta disponibilidad FTD en losdispositivos de FirePOWER Contenido

IntroducciónPrerequisitesRequisitosComponentes usadosLa tarea 1. verifica las condicionesLa tarea 2. configura FTD ha en FPR9300CondicionesLa tarea 3. verifica FTD ha y autorizaciónPapeles de la Conmutación por falla de la tarea que cambian 4.Pares de fractura ha de la tarea 5.Pares ha de la neutralización de la tarea 6.La tarea 7. suspende la haVerifiqueTroubleshootingInformación Relacionada

Introducción

Este documento describe cómo configurar y verificar la Alta disponibilidad de la defensa de laamenaza de FirePOWER (FTD) Conmutación por falla (activa/espera) (ha) en FPR9300.

Prerequisites

Requisitos

No hay requisitos específicos para este documento.

Componentes usados

La información que contiene este documento se basa en las siguientes versiones de software yhardware.

funcionamiento del dispositivo de seguridad 2xCisco FirePOWER 9300 2.0(1.23)●

FTD que ejecuta 6.0.1.1 (estructura 1023)●

Centro de administración de FirePOWER (FMC) 6.0.1.1 que se ejecuta (estructura 1023)●

Tiempo de la realización del laboratorio: 1 hora

La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si su red está viva, asegúresede que usted entienda el impacto potencial del comando any.

Note: En un dispositivo FPR9300 con FTD, usted puede configurar solamente el inter-chasisha. Las dos unidades en una configuración ha deben cumplir las condiciones mencionadasaquí.

La tarea 1. verifica las condiciones

Requisito de la tarea:

Verifique que ambos dispositivos FTD cumplan los requisitos de la nota y él puede serconfigurado como unidades ha.

Solución:

Paso 1. Conecte con el IP de administración FPR9300 y verifique el hardware del módulo.

Verifique la dotación física FPR9300-1.

KSEC-FPR9K-1-A# show server inventory

Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd

Cores

------- ------------ ------------ -------------------- ---------------- ---------------- -------

---

1/1 FPR9K-SM-36 V01 FLM19216KK6 Equipped 262144

36

1/2 FPR9K-SM-36 V01 FLM19206H71 Equipped 262144

36

1/3 FPR9K-SM-36 V01 FLM19206H7T Equipped 262144

36

KSEC-FPR9K-1-A#

Verifique la dotación física FPR9300-2.

KSEC-FPR9K-2-A# show server inventory

Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd

Cores

------- ------------ ------------ -------------------- ---------------- ---------------- -------

---

1/1 FPR9K-SM-36 V01 FLM19206H9T Equipped 262144

36

1/2 FPR9K-SM-36 V01 FLM19216KAX Equipped 262144

36

1/3 FPR9K-SM-36 V01 FLM19267A63 Equipped 262144

36

KSEC-FPR9K-2-A#

Paso 2. El registro en el encargado del chasis FPR9300-1 y navega a los dispositivos lógicos.

Verifique la versión de software, el número y el tipo de interfaces tal y como se muestra en de lasimágenes.

FPR9300-1

FPR9300-2

La tarea 2. configura FTD ha en FPR9300


Configure la Conmutación por falla activa/espera (ha) según este diagrama.

Solución:

Ambos dispositivos FTD se registran ya en el FMC tal y como se muestra en de la imagen.

Paso 1. Para configurar la Conmutación por falla FTD, navegar a los dispositivos > a laAdministración de dispositivos y a selecto agregue la Alta disponibilidad tal y como se muestra ende la imagen.

Paso 2. Ingrese al peer primario y el par secundario y selecto continúa tal y como se muestra ende la imagen.

Condiciones

Para crear una ha entre 2 dispositivos FTD, estas condiciones deben ser cumplidas:

El mismo modelo●

La misma versión (esto se aplica a FXOS y a FTD - (el comandante (primer número), elmenor (segundo número), y el mantenimiento (tercer número) deben ser iguales))

●

El mismo número de interfaces●

El mismo tipo de interfaces●

Ambos dispositivos como parte del mismo grupo/dominio en FMC●

Tenga configuración idéntica del Network Time Protocol (NTP)●

Se despliega completamente en el FMC sin los cambios sin compromiso●

Esté en el mismo modo firewall: encaminado o transparente.●

Observe que esto se debe comprobar los dispositivos FTD y el GUI FMC puesto que hahabido los casos donde el FTDs tenía el mismo modo, pero FMC no refleja esto.

●

No tiene Point-to-Point Protocol over Ethernet (PPPoE) DHCP configurado en los interfacesuces de los

●

Diverso hostname (nombre de dominio completo (FQDN)) para ambos chasis. Para controlarel hostname del chasis vaya a FTD CLI y funcione con este comando:

●

firepower# show chassis-management-url

https://KSEC-FPR9K-1.cisco.com:443//

Si ambos chasis tienen el mismo nombre, cambie el nombre en uno de ellos con el uso deestos comandos:

KSEC-FPR9K-1-A# scope system

KSEC-FPR9K-1-A /system # set name FPR9K-1new

Warning: System name modification changes FC zone name and redeploys them non-disruptively

KSEC-FPR9K-1-A /system* # commit-buffer

FPR9K-1-A /system # exit

FPR9K-1new-A#

Después de que usted cambie el nombre del chasis, el unregister el FTD del FMC y lo registraotra vez. Entonces, proceda con la creación de pares ha.

Paso 3. Configure la ha y estado las configuraciones de los links.

En su caso, el link del estado tiene las mismas configuraciones que el link de gran disponibilidad.

Selecto agregue y espere durante unos minutos los pares ha que se desplegarán tal y como semuestra en de la imagen.

Paso 4. Configure las Interfaces de datos (los IP Addresses primarios y espera)

Del GUI FMC, haga clic en la ha corrigen tal y como se muestra en de la imagen.

Paso 5. Configure las configuraciones del interfaz tal y como se muestra en de las imágenes.

Ethernetes 1/5 interfaz.

Ethernetes 1/6 interfaz.

Paso 6. Navegue a la Alta disponibilidad y haga clic en el nombre del interfaz corrigen paraagregar los IP Addresses espera tal y como se muestra en de la imagen.

Paso 7. Para la interfaz interior tal y como se muestra en de la imagen.

Paso 8. Haga lo mismo para la interfaz exterior.

Paso 9. Verifique el resultado tal y como se muestra en de la imagen.

Paso 10. Permanezca en la tabulación de gran disponibilidad y configure Mac virtual losdireccionamientos tal y como se muestra en de la imagen.

Paso 11. Para la interfaz interior está tal y como se muestra en de la imagen.

Paso 12. Haga lo mismo para la interfaz exterior.


Paso 14. Después de que usted configure los cambios, seleccione la salvaguardia y despliegúela.

La tarea 3. verifica FTD ha y autorización


Verifique las configuraciones FTD ha y las licencias activadas del GUI FMC y de FTD CLI.

Solución:

Paso 1. Navegue al resumen y controle las configuraciones ha y las licencias activadas tal y comose muestra en de la imagen.

Paso 2. Del FTD CLISH CLI, funcione con estos comandos:

> show high-availability config

Failover On

Failover unit Primary

Failover LAN Interface: fover_link Ethernet1/4 (up)

Reconnect timeout 0:00:00

Unit Poll frequency 1 seconds, holdtime 15 seconds

Interface Poll frequency 5 seconds, holdtime 25 seconds

Interface Policy 1

Monitored Interfaces 1 of 1041 maximum

MAC Address Move Notification Interval not set

failover replication http

Version: Ours 9.6(1), Mate 9.6(1)

Serial Number: Ours FLM19267A63, Mate FLM19206H7T

Last Failover at: 18:32:38 EEST Jul 21 2016

This host: Primary - Active

Active time: 3505 (sec)

slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys)

Interface diagnostic (0.0.0.0): Normal (Waiting)

slot 1: snort rev (1.0) status (up)

slot 2: diskstatus rev (1.0) status (up)

Other host: Secondary - Standby Ready

Active time: 172 (sec)

slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys)

Interface diagnostic (0.0.0.0): Normal (Waiting)

slot 1: snort rev (1.0) status (up)

slot 2: diskstatus rev (1.0) status (up)

Stateful Failover Logical Update Statistics

Link : fover_link Ethernet1/4 (up)

Stateful Obj xmit xerr rcv rerr

General417 0 416 0

sys cmd 416 0 416 0

up time 0 0 0 0

RPC services 0 0 0 0

TCP conn 0 0 0 0

UDP conn 0 0 0 0

ARP tbl 0 0 0 0

Xlate_Timeout 0 0 0 0

IPv6 ND tbl 0 0 0 0

VPN IKEv1 SA 0 0 0 0

VPN IKEv1 P2 0 0 0 0

VPN IKEv2 SA 0 0 0 0

VPN IKEv2 P2 0 0 0 0

VPN CTCP upd 0 0 0 0

VPN SDI upd 0 0 0 0

VPN DHCP upd 0 0 0 0

SIP Session 0 0 0 0

SIP Tx 0 0 0 0

SIP Pinhole 0 0 0 0

Route Session 0 0 0 0

Router ID 0 0 0 0

User-Identity 1 0 0 0

CTS SGTNAME 0 0 0 0

CTS PAC 0 0 0 0

TrustSec-SXP 0 0 0 0

IPv6 Route 0 0 0 0

STS Table 0 0 0 0

Logical Update Queue Information

Cur Max Total

Recv Q: 0 10 416

Xmit Q: 0 11 2118

>

Paso 3. Haga lo mismo en el dispositivo secundario.

Paso 4. Funcione con el comando del estado de la Conmutación por falla de la demostración dela LINA CLI:

firepower# show failover state

State Last Failure Reason Date/Time

This host - Primary

Active None

Other host - Secondary

Standby Ready Comm Failure 18:32:56 EEST Jul 21 2016

====Configuration State===

Sync Done

====Communication State===

Mac set

firepower#

Paso 5. Verifique la configuración corriente de la unidad primaria (LINA CLI):

firepower# show running-config failover

failover

failover lan unit primary

failover lan interface fover_link Ethernet1/4


failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222

failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444

failover link fover_link Ethernet1/4

failover interface ip fover_link 1.1.1.1 255.255.255.0 standby 1.1.1.2

firepower#

firepower# show running-config interface

!

interface Ethernet1/2

management-only

nameif diagnostic

security-level 0

no ip address

!


description LAN/STATE Failover Interface

!


nameif Inside

security-level 0

ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11

!


nameif Outside

security-level 0

ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11

firepower#

Encargue a 4. papeles de la Conmutación por falla que cambian


Del FMC, cambie los papeles de la Conmutación por falla de primario/del Active,secundario/recurso seguro a primario/al recurso seguro, secundario/Active

Solución:

Paso 1. Haga clic en el icono tal y como se muestra en de la imagen.

Paso 2. Confirme la acción en la ventana emergente tal y como se muestra en de la imagen.


De la LINA CLI, usted puede ver que ejecutaron al comando no failover active en el primario/launidad activa:

Jul 22 2016 10:39:26: %ASA-5-111008: User 'enable_15' executed the 'no failover active' command.

Jul 22 2016 10:39:26: %ASA-5-111010: User 'enable_15', running 'N/A' from IP 0.0.0.0, executed

'no failover active'

Usted puede también verificarlo en el comando history de la Conmutación por falla de lademostración hecho salir:

firepower# show failover history

==========================================================================

From State To State Reason

10:39:26 EEST Jul 22 2016

Active Standby Ready Set by the config command

Paso 4. Después de la verificación, haga el Active de la unidad primaria otra vez.

Encargue a 5. pares de fractura ha


Del FMC, rompa el par de fallas.

Solución:


Paso 2. Controle la notificación tal y como se muestra en de la imagen.

Paso 3. Observe el mensaje tal y como se muestra en de la imagen.

Paso 4. Verifique el resultado del GUI FMC tal y como se muestra en de la imagen.

muestre los ejecutar-config en la unidad primaria antes y después de romper la ha:

Antes de la rotura ha Después de la rotura hafuncionamiento sh del firepower#: Guardado:: Número de serie: FLM19267A63: Hardware FPR9K-SM-36, RAM del 135839 MB, E5 SeriesCPU Xeon 2294 megaciclos, 2 CPU (72 memorias):Versión 6.0.1.1 NGFW¡!hostname firePOWERcontraseña 8Ry2YjIyt7RRXU24 del permiso cifradanombres¡!interfaz Ethernet1/2Administración-solamentediagnóstico del nameifnivel de seguridad 0sin dirección de IP¡!interfaz Ethernet1/4interfaz de la Conmutación por falla de la descripciónLAN/STATE¡!interfaz Ethernet1/5nameif dentronivel de seguridad 0recurso seguro 192.168.75.11 de 255.255.255.0 de ladirección IP 192.168.75.10¡!interfaz Ethernet1/6nameif afueranivel de seguridad 0recurso seguro 192.168.76.11 de 255.255.255.0 de ladirección IP 192.168.76.10¡!voz pasiva del modo ftpVLAN-identificación de la conec-coincidencia de los ngipsregla-identificación 268447744 de la observación de laacceso-lista CSM_FW_ACL_: POLÍTICA DE ACCESO:FTD9300 - Mandatory/1regla-identificación 268447744 de la observación de laacceso-lista CSM_FW_ACL_: REGLA L4: Allow_ICMPICMP avanzado CSM_FW_ACL_ del permiso de la acceso-lista cualquier cualquier regla-identificación 268447744registro de eventos ambasregla-identificación 268441600 de la observación de laacceso-lista CSM_FW_ACL_: POLÍTICA DE ACCESO:

funcionamiento sh del firepower#: Guardado:: Número de serie: FLM19267A63: Hardware FPR9K-SM-36, RAM del 135839 MB, E5 SeriesCPU Xeon 2294 megaciclos, 2 CPU (72 memorias):Versión 6.0.1.1 NGFW¡!hostname firePOWERcontraseña 8Ry2YjIyt7RRXU24 del permiso cifradanombres¡!interfaz Ethernet1/2Administración-solamentediagnóstico del nameifnivel de seguridad 0sin dirección de IP¡!interfaz Ethernet1/4ningún nameifningún nivel de seguridadsin dirección de IP¡!interfaz Ethernet1/5nameif dentronivel de seguridad 0recurso seguro 192.168.75.11 de 255.255.255.0 de ladirección IP 192.168.75.10¡!interfaz Ethernet1/6nameif afueranivel de seguridad 0recurso seguro 192.168.76.11 de 255.255.255.0 de ladirección IP 192.168.76.10¡!voz pasiva del modo ftpVLAN-identificación de la conec-coincidencia de los ngipsregla-identificación 268447744 de la observación de laacceso-lista CSM_FW_ACL_: POLÍTICA DE ACCESO:FTD9300 - Mandatory/1regla-identificación 268447744 de la observación de laacceso-lista CSM_FW_ACL_: REGLA L4: Allow_ICMPICMP avanzado CSM_FW_ACL_ del permiso de la acceso-lista cualquier cualquier regla-identificación 268447744registro de eventos ambasregla-identificación 268441600 de la observación de la

FTD9300 - Default/1regla-identificación 268441600 de la observación de laacceso-lista CSM_FW_ACL_: REGLA L4: REGLA DE LAACCIÓN PREDETERMINADAIP avanzado CSM_FW_ACL_ del permiso de la acceso-listacualquier cualquier regla-identificación 268441600¡!TCP-correspondencia UM_STATIC_TCP_MAPel rango 6 7 de las TCP-opciones permiteel rango 9 255 de las TCP-opciones permiteel urgente-indicador permite¡!ningún paginadorpermiso de registraciónindicación de fecha y hora de registrorecurso seguro de registraciónalmacenador-tamaño de registración 100000debugging guardada en la memoria intermedia del registroregistración de 1024 flash-mínimo-libresflash-máximo-asignación de registración 3076diagnóstico 1500 MTUMTU dentro de 1500MTU fuera de 1500Conmutación por fallaunidad LAN primaria de la Conmutación por fallafover_link Ethernet1/4 del interfaz lan de la Conmutación porfallaHTTP de la replicación de la Conmutación por fallaMAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 dela Conmutación por fallaMAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 dela Conmutación por fallafover_link Ethernet1/4 del link de fallasrecurso seguro 1.1.1.2 de 1.1.1.1 255.255.255.0 del fover_linkIP del interfaz de la Conmutación por fallatamaño de ráfaga inalcanzable 1 del tarifa-límite 1 ICMPningún permiso del historial del asdmdescanso 14400 arpningún permiso-nonconnected arpacceso-grupo CSM_FW_ACL_ globalxlate 3:00:00 del descansopalmadita-xlate 0:00:30 del descansoICMP semicerrado 0:00:02 del sctp 0:02:00 UDP 0:02:00conec 1:00:00 0:10:00 del descansomgcp-palmadita 0:05:00 del mgcp 0:05:00 del sunrpc 0:10:00h323 0:05:00 h225 1:00:00 del descansoel sip_media 0:02:00 del sorbo 0:30:00 del descanso sorbo-invita a la sorbo-desconexión 0:02:00 de 0:03:00absoluto del uauth 0:05:00 de los sorbo-provisional-media0:02:00 del descansoTCP-proxy-nuevo ensamble 0:00:30 del descansoflotar-conec 0:00:00 del descansoneutralización del proxy-límite aaa

acceso-lista CSM_FW_ACL_: POLÍTICA DE ACCESO:FTD9300 - Default/1regla-identificación 268441600 de la observación de laacceso-lista CSM_FW_ACL_: REGLA L4: REGLA DE LAACCIÓN PREDETERMINADAIP avanzado CSM_FW_ACL_ del permiso de la acceso-listacualquier cualquier regla-identificación 268441600¡!TCP-correspondencia UM_STATIC_TCP_MAPel rango 6 7 de las TCP-opciones permiteel rango 9 255 de las TCP-opciones permiteel urgente-indicador permite¡!ningún paginadorpermiso de registraciónindicación de fecha y hora de registrorecurso seguro de registraciónalmacenador-tamaño de registración 100000debugging guardada en la memoria intermedia del registroregistración de 1024 flash-mínimo-libresflash-máximo-asignación de registración 3076diagnóstico 1500 MTUMTU dentro de 1500MTU fuera de 1500ninguna Conmutación por fallaningún servicio-módulo del monitor-interfaztamaño de ráfaga inalcanzable 1 del tarifa-límite 1 ICMPningún permiso del historial del asdmdescanso 14400 arpningún permiso-nonconnected arpacceso-grupo CSM_FW_ACL_ globalxlate 3:00:00 del descansopalmadita-xlate 0:00:30 del descansoICMP semicerrado 0:00:02 del sctp 0:02:00 UDP 0:02:00conec 1:00:00 0:10:00 del descansomgcp-palmadita 0:05:00 del mgcp 0:05:00 del sunrpc 0:10:00h323 0:05:00 h225 1:00:00 del descansoel sip_media 0:02:00 del sorbo 0:30:00 del descanso sorbo-invita a la sorbo-desconexión 0:02:00 de 0:03:00absoluto del uauth 0:05:00 de los sorbo-provisional-media0:02:00 del descansoTCP-proxy-nuevo ensamble 0:00:30 del descansoflotar-conec 0:00:00 del descansoneutralización del proxy-límite aaaninguna ubicación del SNMP-servidorningún contacto del SNMP-servidorningún permiso del SNMP-servidor atrapa el warmstart delcoldstart del linkdown de la conexión de la autenticaciónSNMPpmtu-envejecimiento crypto de la asociación de seguridadIPSec infinitodirectiva crypto del trustpool CaTiempo de espera Telnet 5

ninguna ubicación del SNMP-servidorningún contacto del SNMP-servidorningún permiso del SNMP-servidor atrapa el warmstart delcoldstart del linkdown de la conexión de la autenticaciónSNMPpmtu-envejecimiento crypto de la asociación de seguridadIPSec infinitodirectiva crypto del trustpool CaTiempo de espera Telnet 5stricthostkeycheck del sshdescanso 5 del sshgrupo dh-group1-sha1 del clave-intercambio del sshdescanso 0 de la consoladinámico-acceso-directiva-expediente DfltAccessPolicy¡!inspection_default de la clase-correspondenciavalor por defecto-examen-tráfico de la coincidencia¡!¡!el tipo de la directiva-correspondencia examina elpreset_dns_map dnsparámetrosauto del cliente máximo de la longitud del mensajemáximo 512 de la longitud del mensajeel tipo de la directiva-correspondencia examina las IP-opciones UM_STATIC_IP_OPTIONS_MAPparámetrosla acción del eool permitela acción del nop permitela acción de la alerta del router permiteglobal_policy de la directiva-correspondenciainspection_default de la claseexamine el preset_dns_map dnsexamine el ftpexamine h323 h225examine los ras h323examine el rshexamine el rtspexamine el sqlnetexamine flacoexamine el sunrpcexamine el xdmcpexamine el sorboexamine NetBIOSexamine tftpexamine el ICMPexamine el error ICMPexamine el dcerpcexamine las IP-opciones UM_STATIC_IP_OPTIONS_MAPclasifique el clase-valor por defectofije las avanzado-opciones UM_STATIC_TCP_MAP de laconexión¡!

stricthostkeycheck del sshdescanso 5 del sshgrupo dh-group1-sha1 del clave-intercambio del sshdescanso 0 de la consoladinámico-acceso-directiva-expediente DfltAccessPolicy¡!inspection_default de la clase-correspondenciavalor por defecto-examen-tráfico de la coincidencia¡!¡!el tipo de la directiva-correspondencia examina elpreset_dns_map dnsparámetrosauto del cliente máximo de la longitud del mensajemáximo 512 de la longitud del mensajeel tipo de la directiva-correspondencia examina las IP-opciones UM_STATIC_IP_OPTIONS_MAPparámetrosla acción del eool permitela acción del nop permitela acción de la alerta del router permiteglobal_policy de la directiva-correspondenciainspection_default de la claseexamine el preset_dns_map dnsexamine el ftpexamine h323 h225examine los ras h323examine el rshexamine el rtspexamine el sqlnetexamine flacoexamine el sunrpcexamine el xdmcpexamine el sorboexamine NetBIOSexamine tftpexamine el ICMPexamine el error ICMPexamine el dcerpcexamine las IP-opciones UM_STATIC_IP_OPTIONS_MAPclasifique el clase-valor por defectofije las avanzado-opciones UM_STATIC_TCP_MAP de laconexión¡!global_policy de la servicio-directiva globalcontexto pronto del hostnameCall Homeperfil CiscoTAC-1no activoHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServicedel direccionamiento de destinocorreo electrónico [email protected] del direccionamiento

https://tools.cisco.com/its/service/oddce/services/DDCEService


global_policy de la servicio-directiva globalcontexto pronto del hostnameCall Homeperfil CiscoTAC-1no activoHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServicedel direccionamiento de destinocorreo electrónico [email protected] del direccionamientode destinoHTTP del transporte-método del destinodiagnóstico del suscribir-a-alerta-grupoentorno del suscribir-a-alerta-grupopublicación mensual periódica del inventario del suscribir-a-alerta-grupopublicación mensual periódica de la configuración delsuscribir-a-alerta-grupodiario periódico de la telemetría del suscribir-a-alerta-grupoCryptochecksum:933c594fc0264082edc0f24bad358031: extremofirepower#

de destinoHTTP del transporte-método del destinodiagnóstico del suscribir-a-alerta-grupoentorno del suscribir-a-alerta-grupopublicación mensual periódica del inventario del suscribir-a-alerta-grupopublicación mensual periódica de la configuración delsuscribir-a-alerta-grupodiario periódico de la telemetría del suscribir-a-alerta-grupoCryptochecksum:fb6f5c369dee730b9125650517dbb059: extremofirepower#

el ejecutar-config de la demostración en la unidad secundaria antes y después de romper la haestá tal y como se muestra en de la tabla aquí.

Antes de la rotura ha Después de la rotura hafuncionamiento sh del firepower#: Guardado:: Número de serie: FLM19206H7T: Hardware FPR9K-SM-36, RAM del 135841 MB, E5 SeriesCPU Xeon 2294 megaciclos, 2 CPU (72 memorias):Versión 6.0.1.1 NGFW¡!hostname firePOWERcontraseña 8Ry2YjIyt7RRXU24 del permiso cifradanombres¡!interfaz Ethernet1/2Administración-solamentediagnóstico del nameifnivel de seguridad 0sin dirección de IP¡!interfaz Ethernet1/4interfaz de la Conmutación por falla de la descripciónLAN/STATE¡!interfaz Ethernet1/5nameif dentronivel de seguridad 0recurso seguro 192.168.75.11 de 255.255.255.0 de la

funcionamiento sh del firepower#: Guardado:: Número de serie: FLM19206H7T: Hardware FPR9K-SM-36, RAM del 135841 MB, E5 SeriesCPU Xeon 2294 megaciclos, 2 CPU (72 memorias):Versión 6.0.1.1 NGFW¡!hostname firePOWERcontraseña 8Ry2YjIyt7RRXU24 del permiso cifradanombres¡!interfaz Ethernet1/2Administración-solamentediagnóstico del nameifnivel de seguridad 0sin dirección de IP¡!interfaz Ethernet1/4parada normalningún nameifningún nivel de seguridadsin dirección de IP¡!interfaz Ethernet1/5parada normal



dirección IP 192.168.75.10¡!interfaz Ethernet1/6nameif afueranivel de seguridad 0recurso seguro 192.168.76.11 de 255.255.255.0 de ladirección IP 192.168.76.10¡!voz pasiva del modo ftpVLAN-identificación de la conec-coincidencia de los ngipsregla-identificación 268447744 de la observación de laacceso-lista CSM_FW_ACL_: POLÍTICA DE ACCESO:FTD9300 - Mandatory/1regla-identificación 268447744 de la observación de laacceso-lista CSM_FW_ACL_: REGLA L4: Allow_ICMPICMP avanzado CSM_FW_ACL_ del permiso de la acceso-lista cualquier cualquier regla-identificación 268447744registro de eventos ambasregla-identificación 268441600 de la observación de laacceso-lista CSM_FW_ACL_: POLÍTICA DE ACCESO:FTD9300 - Default/1regla-identificación 268441600 de la observación de laacceso-lista CSM_FW_ACL_: REGLA L4: REGLA DE LAACCIÓN PREDETERMINADAIP avanzado CSM_FW_ACL_ del permiso de la acceso-listacualquier cualquier regla-identificación 268441600¡!TCP-correspondencia UM_STATIC_TCP_MAPel rango 6 7 de las TCP-opciones permiteel rango 9 255 de las TCP-opciones permiteel urgente-indicador permite¡!ningún paginadorpermiso de registraciónindicación de fecha y hora de registrorecurso seguro de registraciónalmacenador-tamaño de registración 100000debugging guardada en la memoria intermedia del registroregistración de 1024 flash-mínimo-libresflash-máximo-asignación de registración 3076diagnóstico 1500 MTUMTU dentro de 1500MTU fuera de 1500Conmutación por fallaunidad lan de la Conmutación por falla secundariafover_link Ethernet1/4 del interfaz lan de la Conmutación porfallaHTTP de la replicación de la Conmutación por fallaMAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 dela Conmutación por fallaMAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 dela Conmutación por fallafover_link Ethernet1/4 del link de fallas

ningún nameifningún nivel de seguridadsin dirección de IP¡!interfaz Ethernet1/6parada normalningún nameifningún nivel de seguridadsin dirección de IP¡!voz pasiva del modo ftpVLAN-identificación de la conec-coincidencia de los ngipsregla-identificación 268447744 de la observación de laacceso-lista CSM_FW_ACL_: POLÍTICA DE ACCESO:FTD9300 - Mandatory/1regla-identificación 268447744 de la observación de laacceso-lista CSM_FW_ACL_: REGLA L4: Allow_ICMPICMP avanzado CSM_FW_ACL_ del permiso de la acceso-lista cualquier cualquier regla-identificación 268447744registro de eventos ambasregla-identificación 268441600 de la observación de laacceso-lista CSM_FW_ACL_: POLÍTICA DE ACCESO:FTD9300 - Default/1regla-identificación 268441600 de la observación de laacceso-lista CSM_FW_ACL_: REGLA L4: REGLA DE LAACCIÓN PREDETERMINADAIP avanzado CSM_FW_ACL_ del permiso de la acceso-listacualquier cualquier regla-identificación 268441600¡!TCP-correspondencia UM_STATIC_TCP_MAPel rango 6 7 de las TCP-opciones permiteel rango 9 255 de las TCP-opciones permiteel urgente-indicador permite¡!ningún paginadorningún mensaje de registración 106015ningún mensaje de registración 313001ningún mensaje de registración 313008ningún mensaje de registración 106023ningún mensaje de registración 710003ningún mensaje de registración 106100ningún mensaje de registración 302015ningún mensaje de registración 302014ningún mensaje de registración 302013ningún mensaje de registración 302018ningún mensaje de registración 302017ningún mensaje de registración 302016ningún mensaje de registración 302021ningún mensaje de registración 302020diagnóstico 1500 MTUninguna Conmutación por fallaningún servicio-módulo del monitor-interfaztamaño de ráfaga inalcanzable 1 del tarifa-límite 1 ICMP

recurso seguro 1.1.1.2 de 1.1.1.1 255.255.255.0 del fover_linkIP del interfaz de la Conmutación por fallatamaño de ráfaga inalcanzable 1 del tarifa-límite 1 ICMPningún permiso del historial del asdmdescanso 14400 arpningún permiso-nonconnected arpacceso-grupo CSM_FW_ACL_ globalxlate 3:00:00 del descansopalmadita-xlate 0:00:30 del descansoICMP semicerrado 0:00:02 del sctp 0:02:00 UDP 0:02:00conec 1:00:00 0:10:00 del descansomgcp-palmadita 0:05:00 del mgcp 0:05:00 del sunrpc 0:10:00h323 0:05:00 h225 1:00:00 del descansoel sip_media 0:02:00 del sorbo 0:30:00 del descanso sorbo-invita a la sorbo-desconexión 0:02:00 de 0:03:00absoluto del uauth 0:05:00 de los sorbo-provisional-media0:02:00 del descansoTCP-proxy-nuevo ensamble 0:00:30 del descansoflotar-conec 0:00:00 del descansoLOCAL del valor por defecto-dominio de la Identificación delusuarioneutralización del proxy-límite aaaninguna ubicación del SNMP-servidorningún contacto del SNMP-servidorningún permiso del SNMP-servidor atrapa el warmstart delcoldstart del linkdown de la conexión de la autenticaciónSNMPpmtu-envejecimiento crypto de la asociación de seguridadIPSec infinitodirectiva crypto del trustpool CaTiempo de espera Telnet 5stricthostkeycheck del sshdescanso 5 del sshgrupo dh-group1-sha1 del clave-intercambio del sshdescanso 0 de la consoladinámico-acceso-directiva-expediente DfltAccessPolicy¡!inspection_default de la clase-correspondenciavalor por defecto-examen-tráfico de la coincidencia¡!¡!el tipo de la directiva-correspondencia examina elpreset_dns_map dnsparámetrosauto del cliente máximo de la longitud del mensajemáximo 512 de la longitud del mensajeel tipo de la directiva-correspondencia examina las IP-opciones UM_STATIC_IP_OPTIONS_MAPparámetrosla acción del eool permitela acción del nop permitela acción de la alerta del router permiteglobal_policy de la directiva-correspondencia

ningún permiso del historial del asdmdescanso 14400 arpningún permiso-nonconnected arpacceso-grupo CSM_FW_ACL_ globalxlate 3:00:00 del descansopalmadita-xlate 0:00:30 del descansoICMP semicerrado 0:00:02 del sctp 0:02:00 UDP 0:02:00conec 1:00:00 0:10:00 del descansomgcp-palmadita 0:05:00 del mgcp 0:05:00 del sunrpc 0:10:00h323 0:05:00 h225 1:00:00 del descansoel sip_media 0:02:00 del sorbo 0:30:00 del descanso sorbo-invita a la sorbo-desconexión 0:02:00 de 0:03:00absoluto del uauth 0:05:00 de los sorbo-provisional-media0:02:00 del descansoTCP-proxy-nuevo ensamble 0:00:30 del descansoflotar-conec 0:00:00 del descansoneutralización del proxy-límite aaaninguna ubicación del SNMP-servidorningún contacto del SNMP-servidorningún permiso del SNMP-servidor atrapa el warmstart delcoldstart del linkdown de la conexión de la autenticaciónSNMPpmtu-envejecimiento crypto de la asociación de seguridadIPSec infinitodirectiva crypto del trustpool CaTiempo de espera Telnet 5stricthostkeycheck del sshdescanso 5 del sshgrupo dh-group1-sha1 del clave-intercambio del sshdescanso 0 de la consoladinámico-acceso-directiva-expediente DfltAccessPolicy¡!inspection_default de la clase-correspondenciavalor por defecto-examen-tráfico de la coincidencia¡!¡!el tipo de la directiva-correspondencia examina elpreset_dns_map dnsparámetrosauto del cliente máximo de la longitud del mensajemáximo 512 de la longitud del mensajeel tipo de la directiva-correspondencia examina las IP-opciones UM_STATIC_IP_OPTIONS_MAPparámetrosla acción del eool permitela acción del nop permitela acción de la alerta del router permiteglobal_policy de la directiva-correspondenciainspection_default de la claseexamine el preset_dns_map dnsexamine el ftpexamine h323 h225examine los ras h323

inspection_default de la claseexamine el preset_dns_map dnsexamine el ftpexamine h323 h225examine los ras h323examine el rshexamine el rtspexamine el sqlnetexamine flacoexamine el sunrpcexamine el xdmcpexamine el sorboexamine NetBIOSexamine tftpexamine el ICMPexamine el error ICMPexamine el dcerpcexamine las IP-opciones UM_STATIC_IP_OPTIONS_MAPclasifique el clase-valor por defectofije las avanzado-opciones UM_STATIC_TCP_MAP de laconexión¡!global_policy de la servicio-directiva globalcontexto pronto del hostnameCall Homeperfil CiscoTAC-1no activoHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServicedel direccionamiento de destinocorreo electrónico [email protected] del direccionamientode destinoHTTP del transporte-método del destinodiagnóstico del suscribir-a-alerta-grupoentorno del suscribir-a-alerta-grupopublicación mensual periódica del inventario del suscribir-a-alerta-grupopublicación mensual periódica de la configuración delsuscribir-a-alerta-grupodiario periódico de la telemetría del suscribir-a-alerta-grupoCryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84: extremofirepower#

examine el rshexamine el rtspexamine el sqlnetexamine flacoexamine el sunrpcexamine el xdmcpexamine el sorboexamine NetBIOSexamine tftpexamine el ICMPexamine el error ICMPexamine el dcerpcexamine las IP-opciones UM_STATIC_IP_OPTIONS_MAPclasifique el clase-valor por defectofije las avanzado-opciones UM_STATIC_TCP_MAP de laconexión¡!global_policy de la servicio-directiva globalcontexto pronto del hostnameCall Homeperfil CiscoTAC-1no activoHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServicedel direccionamiento de destinocorreo electrónico [email protected] del direccionamientode destinoHTTP del transporte-método del destinodiagnóstico del suscribir-a-alerta-grupoentorno del suscribir-a-alerta-grupopublicación mensual periódica del inventario del suscribir-a-alerta-grupopublicación mensual periódica de la configuración delsuscribir-a-alerta-grupodiario periódico de la telemetría del suscribir-a-alerta-grupoCryptochecksum:08ed87194e9f5cd9149fab3c0e9cefc3: extremofirepower#

Puntos principales a observar para romper la ha:

FTD primario FTD secundarioSe quita toda la configuración de la Conmutación por fallaLos IP espera permanecen Se quita toda la configuración

Paso 5. Después de que usted acabe esta tarea, reconstruya los pares ha.





Pares ha de la neutralización de la tarea 6.


Del FMC, inhabilite el par de fallas.

Solución:


Paso 2. Controle la notificación y confírmela tal y como se muestra en de la imagen.

Paso 3. Después de que usted suprima la ha, ambos dispositivos son no registrados (quitado) delFMC.

el resultado de los ejecutar-config de la demostración de la LINA CLI está tal y como se muestraen de la tabla aquí:

Unidad primaria Unidad secundariafuncionamiento sh del firepower#: Guardado:: Número de serie: FLM19267A63: Hardware FPR9K-SM-36, RAM del 135839 MB, E5 SeriesCPU Xeon 2294 megaciclos, 2 CPU (72 memorias):Versión 6.0.1.1 NGFW¡!hostname firePOWERcontraseña 8Ry2YjIyt7RRXU24 del permiso cifradanombres¡!interfaz Ethernet1/2Administración-solamentediagnóstico del nameifnivel de seguridad 0sin dirección de IP¡!

funcionamiento sh del firepower#: Guardado:: Número de serie: FLM19206H7T: Hardware FPR9K-SM-36, RAM del 135841 MB, E5 SeriesCPU Xeon 2294 megaciclos, 2 CPU (72 memorias):Versión 6.0.1.1 NGFW¡!hostname firePOWERcontraseña 8Ry2YjIyt7RRXU24 del permiso cifradanombres¡!interfaz Ethernet1/2Administración-solamentediagnóstico del nameifnivel de seguridad 0sin dirección de IP¡!

interfaz Ethernet1/4interfaz de la Conmutación por falla de la descripciónLAN/STATE¡!interfaz Ethernet1/5nameif dentronivel de seguridad 0recurso seguro 192.168.75.11 de 255.255.255.0 de ladirección IP 192.168.75.10¡!interfaz Ethernet1/6nameif afueranivel de seguridad 0recurso seguro 192.168.76.11 de 255.255.255.0 de ladirección IP 192.168.76.10¡!voz pasiva del modo ftpVLAN-identificación de la conec-coincidencia de los ngipsregla-identificación 268447744 de la observación de laacceso-lista CSM_FW_ACL_: POLÍTICA DE ACCESO:FTD9300 - Mandatory/1regla-identificación 268447744 de la observación de laacceso-lista CSM_FW_ACL_: REGLA L4: Allow_ICMPICMP avanzado CSM_FW_ACL_ del permiso de la acceso-lista cualquier cualquier regla-identificación 268447744registro de eventos ambasregla-identificación 268441600 de la observación de laacceso-lista CSM_FW_ACL_: POLÍTICA DE ACCESO:FTD9300 - Default/1regla-identificación 268441600 de la observación de laacceso-lista CSM_FW_ACL_: REGLA L4: REGLA DE LAACCIÓN PREDETERMINADAIP avanzado CSM_FW_ACL_ del permiso de la acceso-listacualquier cualquier regla-identificación 268441600¡!TCP-correspondencia UM_STATIC_TCP_MAPel rango 6 7 de las TCP-opciones permiteel rango 9 255 de las TCP-opciones permiteel urgente-indicador permite¡!ningún paginadorpermiso de registraciónindicación de fecha y hora de registrorecurso seguro de registraciónalmacenador-tamaño de registración 100000debugging guardada en la memoria intermedia del registroregistración de 1024 flash-mínimo-libresflash-máximo-asignación de registración 3076diagnóstico 1500 MTUMTU dentro de 1500MTU fuera de 1500Conmutación por fallaunidad LAN primaria de la Conmutación por falla

interfaz Ethernet1/4interfaz de la Conmutación por falla de la descripciónLAN/STATE¡!interfaz Ethernet1/5nameif dentronivel de seguridad 0recurso seguro 192.168.75.11 de 255.255.255.0 de ladirección IP 192.168.75.10¡!interfaz Ethernet1/6nameif afueranivel de seguridad 0recurso seguro 192.168.76.11 de 255.255.255.0 de ladirección IP 192.168.76.10¡!voz pasiva del modo ftpVLAN-identificación de la conec-coincidencia de los ngipsregla-identificación 268447744 de la observación de laacceso-lista CSM_FW_ACL_: POLÍTICA DE ACCESO:FTD9300 - Mandatory/1regla-identificación 268447744 de la observación de laacceso-lista CSM_FW_ACL_: REGLA L4: Allow_ICMPICMP avanzado CSM_FW_ACL_ del permiso de la acceso-lista cualquier cualquier regla-identificación 268447744registro de eventos ambasregla-identificación 268441600 de la observación de laacceso-lista CSM_FW_ACL_: POLÍTICA DE ACCESO:FTD9300 - Default/1regla-identificación 268441600 de la observación de laacceso-lista CSM_FW_ACL_: REGLA L4: REGLA DE LAACCIÓN PREDETERMINADAIP avanzado CSM_FW_ACL_ del permiso de la acceso-listacualquier cualquier regla-identificación 268441600¡!TCP-correspondencia UM_STATIC_TCP_MAPel rango 6 7 de las TCP-opciones permiteel rango 9 255 de las TCP-opciones permiteel urgente-indicador permite¡!ningún paginadorpermiso de registraciónindicación de fecha y hora de registrorecurso seguro de registraciónalmacenador-tamaño de registración 100000debugging guardada en la memoria intermedia del registroregistración de 1024 flash-mínimo-libresflash-máximo-asignación de registración 3076diagnóstico 1500 MTUMTU dentro de 1500MTU fuera de 1500Conmutación por fallaunidad lan de la Conmutación por falla secundaria

fover_link Ethernet1/4 del interfaz lan de la Conmutación porfallaHTTP de la replicación de la Conmutación por fallaMAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 dela Conmutación por fallaMAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 dela Conmutación por fallafover_link Ethernet1/4 del link de fallasrecurso seguro 1.1.1.2 de 1.1.1.1 255.255.255.0 del fover_linkIP del interfaz de la Conmutación por fallatamaño de ráfaga inalcanzable 1 del tarifa-límite 1 ICMPningún permiso del historial del asdmdescanso 14400 arpningún permiso-nonconnected arpacceso-grupo CSM_FW_ACL_ globalxlate 3:00:00 del descansopalmadita-xlate 0:00:30 del descansoICMP semicerrado 0:00:02 del sctp 0:02:00 UDP 0:02:00conec 1:00:00 0:10:00 del descansomgcp-palmadita 0:05:00 del mgcp 0:05:00 del sunrpc 0:10:00h323 0:05:00 h225 1:00:00 del descansoel sip_media 0:02:00 del sorbo 0:30:00 del descanso sorbo-invita a la sorbo-desconexión 0:02:00 de 0:03:00absoluto del uauth 0:05:00 de los sorbo-provisional-media0:02:00 del descansoTCP-proxy-nuevo ensamble 0:00:30 del descansoflotar-conec 0:00:00 del descansoneutralización del proxy-límite aaaninguna ubicación del SNMP-servidorningún contacto del SNMP-servidorningún permiso del SNMP-servidor atrapa el warmstart delcoldstart del linkdown de la conexión de la autenticaciónSNMPpmtu-envejecimiento crypto de la asociación de seguridadIPSec infinitodirectiva crypto del trustpool CaTiempo de espera Telnet 5stricthostkeycheck del sshdescanso 5 del sshgrupo dh-group1-sha1 del clave-intercambio del sshdescanso 0 de la consoladinámico-acceso-directiva-expediente DfltAccessPolicy¡!inspection_default de la clase-correspondenciavalor por defecto-examen-tráfico de la coincidencia¡!¡!el tipo de la directiva-correspondencia examina elpreset_dns_map dnsparámetrosauto del cliente máximo de la longitud del mensajemáximo 512 de la longitud del mensajeel tipo de la directiva-correspondencia examina las IP-

fover_link Ethernet1/4 del interfaz lan de la Conmutación porfallaHTTP de la replicación de la Conmutación por fallaMAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 dela Conmutación por fallaMAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 dela Conmutación por fallafover_link Ethernet1/4 del link de fallasrecurso seguro 1.1.1.2 de 1.1.1.1 255.255.255.0 del fover_linkIP del interfaz de la Conmutación por fallatamaño de ráfaga inalcanzable 1 del tarifa-límite 1 ICMPningún permiso del historial del asdmdescanso 14400 arpningún permiso-nonconnected arpacceso-grupo CSM_FW_ACL_ globalxlate 3:00:00 del descansopalmadita-xlate 0:00:30 del descansoICMP semicerrado 0:00:02 del sctp 0:02:00 UDP 0:02:00conec 1:00:00 0:10:00 del descansomgcp-palmadita 0:05:00 del mgcp 0:05:00 del sunrpc 0:10:00h323 0:05:00 h225 1:00:00 del descansoel sip_media 0:02:00 del sorbo 0:30:00 del descanso sorbo-invita a la sorbo-desconexión 0:02:00 de 0:03:00absoluto del uauth 0:05:00 de los sorbo-provisional-media0:02:00 del descansoTCP-proxy-nuevo ensamble 0:00:30 del descansoflotar-conec 0:00:00 del descansoLOCAL del valor por defecto-dominio de la Identificación delusuarioneutralización del proxy-límite aaaninguna ubicación del SNMP-servidorningún contacto del SNMP-servidorningún permiso del SNMP-servidor atrapa el warmstart delcoldstart del linkdown de la conexión de la autenticaciónSNMPpmtu-envejecimiento crypto de la asociación de seguridadIPSec infinitodirectiva crypto del trustpool CaTiempo de espera Telnet 5stricthostkeycheck del sshdescanso 5 del sshgrupo dh-group1-sha1 del clave-intercambio del sshdescanso 0 de la consoladinámico-acceso-directiva-expediente DfltAccessPolicy¡!inspection_default de la clase-correspondenciavalor por defecto-examen-tráfico de la coincidencia¡!¡!el tipo de la directiva-correspondencia examina elpreset_dns_map dnsparámetrosauto del cliente máximo de la longitud del mensaje

opciones UM_STATIC_IP_OPTIONS_MAPparámetrosla acción del eool permitela acción del nop permitela acción de la alerta del router permiteglobal_policy de la directiva-correspondenciainspection_default de la claseexamine el preset_dns_map dnsexamine el ftpexamine h323 h225examine los ras h323examine el rshexamine el rtspexamine el sqlnetexamine flacoexamine el sunrpcexamine el xdmcpexamine el sorboexamine NetBIOSexamine tftpexamine el ICMPexamine el error ICMPexamine el dcerpcexamine las IP-opciones UM_STATIC_IP_OPTIONS_MAPclasifique el clase-valor por defectofije las avanzado-opciones UM_STATIC_TCP_MAP de laconexión¡!global_policy de la servicio-directiva globalcontexto pronto del hostnameCall Homeperfil CiscoTAC-1no activoHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServicedel direccionamiento de destinocorreo electrónico [email protected] del direccionamientode destinoHTTP del transporte-método del destinodiagnóstico del suscribir-a-alerta-grupoentorno del suscribir-a-alerta-grupopublicación mensual periódica del inventario del suscribir-a-alerta-grupopublicación mensual periódica de la configuración delsuscribir-a-alerta-grupodiario periódico de la telemetría del suscribir-a-alerta-grupoCryptochecksum:933c594fc0264082edc0f24bad358031: extremofirepower#

máximo 512 de la longitud del mensajeel tipo de la directiva-correspondencia examina las IP-opciones UM_STATIC_IP_OPTIONS_MAPparámetrosla acción del eool permitela acción del nop permitela acción de la alerta del router permiteglobal_policy de la directiva-correspondenciainspection_default de la claseexamine el preset_dns_map dnsexamine el ftpexamine h323 h225examine los ras h323examine el rshexamine el rtspexamine el sqlnetexamine flacoexamine el sunrpcexamine el xdmcpexamine el sorboexamine NetBIOSexamine tftpexamine el ICMPexamine el error ICMPexamine el dcerpcexamine las IP-opciones UM_STATIC_IP_OPTIONS_MAPclasifique el clase-valor por defectofije las avanzado-opciones UM_STATIC_TCP_MAP de laconexión¡!global_policy de la servicio-directiva globalcontexto pronto del hostnameCall Homeperfil CiscoTAC-1no activoHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServicedel direccionamiento de destinocorreo electrónico [email protected] del direccionamientode destinoHTTP del transporte-método del destinodiagnóstico del suscribir-a-alerta-grupoentorno del suscribir-a-alerta-grupopublicación mensual periódica del inventario del suscribir-a-alerta-grupopublicación mensual periódica de la configuración delsuscribir-a-alerta-grupodiario periódico de la telemetría del suscribir-a-alerta-grupoCryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84: extremofirepower#

Paso 4. Ambos dispositivos FTD eran no registrados del FMC:





> show managers

No managers configured.

Paso 5. Funcione con este comando de quitar la configuración de la Conmutación por falla de losdispositivos FTD:

> configure high-availability disable

High-availability will be disabled. Do you really want to continue?

Please enter 'YES' or 'NO': yes

Successfully disabled high-availability.

Puntos principales a observar para inhabilitar la ha:

FTD primario FTD secundarioEl dispositivo se quita del FMC.No se quita ninguna configuración del dispositivo FTD

El dispositivo se quita del FMC.No se quita ninguna configuración del dispositivo FTD

Paso 6. Después de que usted acabe la tarea, registre los dispositivos al FMC y active los paresha.

La tarea 7. suspende la ha


Suspenda la ha del FTD CLISH CLI

Solución:

Paso 1. En el FTD primario, funcione con el comando y confírmelo por los YE que pulsan.

> configure high-availability suspend

Please ensure that no deployment operation is in progress before suspending high-availability.

Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you

wish to abort: YES

Successfully suspended high-availability.

Paso 2. Verifique los cambios en la unidad primaria:


Failover Off






Interface Policy 1




Paso 3. El resultado en la unidad secundaria:


Failover Off (pseudo-Standby)

Failover unit Secondary





Interface Policy 1




Paso 4. Curriculum vitae ha en la unidad primaria:

> configure high-availability resume

Successfully resumed high-availablity.

> .

No Active mate detected

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Beginning configuration replication: Sending to mate.

End Configuration Replication to mate

>


Failover On






Interface Policy 1




Paso 5. El resultado en la unidad secundaria después de que usted reanude la ha:

> ..

Detected an Active mate

Beginning configuration replication from mate.

WARNING: Failover is enabled but standby IP address is not configured for this interface.

WARNING: Failover is enabled but standby IP address is not configured for this interface.

End configuration replication from mate.

>


Failover On

Failover unit Secondary





Interface Policy 1




>

Verifique

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

No hay actualmente información disponible específica del troubleshooting para esta configuración.

Información Relacionada

Todas las versiones de la guía de configuración del centro de administración de CiscoFirePOWER se pueden encontrar aquí

●

https://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280

Todas las versiones de las guías del encargado y de configuración CLI del chasis FXOS sepueden encontrar aquí

●

https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950

El Centro de Asistencia Técnica (TAC) global de Cisco recomienda fuertemente esta guíavisual para el conocimiento práctico profundizado en las tecnologías de seguridad de la últimageneración de Cisco FirePOWER, incluyendo las que está mencionadas en este artículo.

●

http://www.ciscopress.com/title/9781587144806

Para toda la configuración y notas técnicas de Troubleshooting que pertenece a lasTecnologías de FirePOWER

●

https://www.cisco.com/c/en/us/support/security/defense-center/tsd-products-support-series-home.html

Soporte técnico y documentación - Cisco Systems●

/content/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280

/content/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280

/content/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950

/content/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950

http://www.ciscopress.com/title/9781587144806

https://www.cisco.com/c/es_mx/support/security/defense-center/tsd-products-support-series-home.html

https://www.cisco.com/c/es_mx/support/security/defense-center/tsd-products-support-series-home.html

https://www.cisco.com/c/es_mx/support/index.html

Configure la Alta disponibilidad FTD en los dispositivos ... · Paso 12. Haga lo mismo para la...

Documents

Transcript of Configure la Alta disponibilidad FTD en los dispositivos ... · Paso 12. Haga lo mismo para la...