Firepower アプライアンスの設定 FTD 高可用性 - Cisco · Firepower...

Firepower アプライアンスの設定 FTD 高可用性目次

はじめに前提条件要件使用するコンポーネントタスク 1.は状態を確認しますFPR9300 のタスク 2.設定 FTD HA条件タスク 3.は認可FTD HA および認可をを確認しますタスク 4.切り替えフェールオーバーロールタスク 5.破損 HA ペアタスク 6.ディセーブル HA ペアタスク 7.一時停止する HA確認トラブルシューティング関連情報

概要

この資料に FPR9300 の Firepower Threat Defense （FTD）高可用性（HA）（アクティブ/スタンバイなフェールオーバー）を設定し確認する方法を記述されています。

前提条件

要件

このドキュメントに関しては個別の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

2.0(1.23) を実行する 2xCisco Firepower 9300 セキュリティアプライアンス●

6.0.1.1 （1023）ビルドを実行する FTD●

6.0.1.1 （1023）ビルドを実行する Firepower Management Center （FMC）●

ラボ完了時間: 1 時間

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響につい

て確実に理解しておく必要があります。

注: FTD の FPR9300 アプライアンスで、内部シャーシ HA だけ設定できます。 HA 設定の2 つのユニットはここに述べられる条件を満たす必要があります。

タスク 1.は状態を確認します

タスク要件:

FTD アプライアンスが両方ともメモ必要条件を満たすそれ HA ユニットで設定することができますことを確認すれば。

ソリューション：

ステップ 1. FPR9300 管理 IP に接続し、モジュールハードウェアを確認して下さい。

FPR9300-1 ハードウェアを確認して下さい。

KSEC-FPR9K-1-A# show server inventory

Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd

Cores

------- ------------ ------------ -------------------- ---------------- ---------------- -------

---

1/1 FPR9K-SM-36 V01 FLM19216KK6 Equipped 262144

36

1/2 FPR9K-SM-36 V01 FLM19206H71 Equipped 262144

36

1/3 FPR9K-SM-36 V01 FLM19206H7T Equipped 262144

36

KSEC-FPR9K-1-A#

FPR9300-2 ハードウェアを確認して下さい。

KSEC-FPR9K-2-A# show server inventory

Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd

Cores

------- ------------ ------------ -------------------- ---------------- ---------------- -------

---

1/1 FPR9K-SM-36 V01 FLM19206H9T Equipped 262144

36

1/2 FPR9K-SM-36 V01 FLM19216KAX Equipped 262144

36

1/3 FPR9K-SM-36 V01 FLM19267A63 Equipped 262144

36

KSEC-FPR9K-2-A#

ステップ 2. FPR9300-1 シャーシマネージャにログインし、論理デバイスにナビゲートして下さい。

イメージに示すようにインターフェイスのソフトウェアバージョン、数および種類を確認して下さい。

FPR9300-1

FPR9300-2

FPR9300 のタスク 2.設定 FTD HA

タスク要件:

このダイアグラムによってアクティブ/スタンバイなフェールオーバー（HA）を設定して下さい。


FTD デバイスは両方ともイメージに示すように FMC で既に登録されています。

ステップ 1. FTD フェールオーバーを設定するために、デバイス > デバイス管理にナビゲートし

、イメージに示すように高可用性を『Add』を選択して下さい。

ステップ 2.プライマリピアおよびセカンダリピアを入力し、イメージに示すように『Continue』を選択して下さい。

条件

2 つの FTD デバイス間の HA を作成するために、これらの条件は満たす必要があります:

同じは模倣します●

同じバージョン（これは FXOS と FTD に適用します- （メジャー（最初数）、マイナー（第2 数）、およびメンテナンス（第 3 数は）等しい必要があります））

●

インターフェイスの同じ数●

インターフェイスの同じ型●

FMC の同じグループ/ドメインの一部とする両方のデバイス●

同一のネットワークタイムプロトコル（NTP）設定を持って下さい●

十分にコミットされていない変更なしで FMC で展開されます●

同じファイアウォールモードにあって下さい: ルーティングされるまたは透過的な。●

FTDs に同じモードがあったが、FMC はこれを反映しませんケースがずっとあるのでこれが●

FTD 両方デバイスおよび FMC GUI でチェックする必要があることに注目して下さい。インターフェイスの何れかで設定される DHCP Point-to-Point Protocol overEthernet（PPPoE）を持っていません

●

別のホスト名（完全修飾ドメイン名（FQDN））両方のシャーシのため。シャーシホスト名をチェックするために FTD CLI に行き、このコマンドを実行して下さい:

●

firepower# show chassis-management-url

https://KSEC-FPR9K-1.cisco.com:443//

注: post-6.3 で FTD は使用しますコマンドを「示しますシャーシ詳細」を

firepower# show chassis detail

Chassis URL : https://KSEC-FPR4100-1:443//

Chassis IP : 192.0.2.1

Chassis Serial Number : JMX12345678

Security Module : 1

シャーシに両方とも同じ名前がある場合、これらのコマンドの使用とそれらの 1 の名前を変更して下さい:

KSEC-FPR9K-1-A# scope system

KSEC-FPR9K-1-A /system # set name FPR9K-1new

Warning: System name modification changes FC zone name and redeploys them non-disruptively

KSEC-FPR9K-1-A /system* # commit-buffer

FPR9K-1-A /system # exit

FPR9K-1new-A#

シャーシ名前を変更した後、FMC からの FTD の登録を解除し、再度登録して下さい。それから、HA 電子対生成を続行して下さい。

ステップ 3. HA を設定し、リンク設定を示して下さい。

ケースでは、状態リンクに高可用性のリンクと同じ設定があります。

イメージに示すように展開されるべき HA ペアを数分間『Add』を選択し、待って下さい。

ステップ 4.データインターフェイス（プライマリおよびスタンバイ IP アドレス）を設定して下さい

FMC GUI から、HA を編集しますイメージに示すようにクリックして下さい。

ステップ 5.イメージに示すようにインターフェイス設定を設定して下さい。

イーサネット 1/5 のインターフェイス。

イーサネット 1/6 のインターフェイス。

ステップ 6.高可用性へのナビゲートはインターフェイス名を編集しますイメージに示すようにスタンバイ IP アドレスを追加するためにクリックし。

ステップ 7 イメージに示すように内部インターフェイスに関しては。

ステップ 8 Outside インターフェイスのために同じをして下さい。

ステップ 9.イメージに示すように結果を確認して下さい。

ステップ 10.高可用性のタブにとどまり、イメージに示すようにバーチャルMACアドレスを設定して下さい。

ステップ 11：内部インターフェイスに関してはイメージに示すようにあります。

ステップ 12： Outside インターフェイスのために同じをして下さい。

ステップ 13：イメージに示すように結果を確認して下さい。

ステップ 14：変更を設定した後、『SAVE』を選択し、展開して下さい。

タスク 3.は認可FTD HA および認可をを確認します

タスク要件:

FMC GUI と FTD CLI からの FTD HA 設定およびイネーブルになったライセンスを確認して下さい。


ステップ 1.要約へのナビゲートはイメージに示すように HA 設定およびイネーブルになったライセンスをチェックし。

呼び出します。 FTD CLISH CLI から、これらのコマンドを実行して下さい:

> show high-availability config

Failover On

Failover unit Primary

Failover LAN Interface: fover_link Ethernet1/4 (up)

Reconnect timeout 0:00:00

Unit Poll frequency 1 seconds, holdtime 15 seconds

Interface Poll frequency 5 seconds, holdtime 25 seconds

Interface Policy 1

Monitored Interfaces 1 of 1041 maximum

MAC Address Move Notification Interval not set

failover replication http

Version: Ours 9.6(1), Mate 9.6(1)

Serial Number: Ours FLM19267A63, Mate FLM19206H7T

Last Failover at: 18:32:38 EEST Jul 21 2016

This host: Primary - Active

Active time: 3505 (sec)

slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys)

Interface diagnostic (0.0.0.0): Normal (Waiting)

slot 1: snort rev (1.0) status (up)

slot 2: diskstatus rev (1.0) status (up)

Other host: Secondary - Standby Ready

Active time: 172 (sec)

slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys)

Interface diagnostic (0.0.0.0): Normal (Waiting)

slot 1: snort rev (1.0) status (up)

slot 2: diskstatus rev (1.0) status (up)

Stateful Failover Logical Update Statistics

Link : fover_link Ethernet1/4 (up)

Stateful Obj xmit xerr rcv rerr

General417 0 416 0

sys cmd 416 0 416 0

up time 0 0 0 0

RPC services 0 0 0 0

TCP conn 0 0 0 0

UDP conn 0 0 0 0

ARP tbl 0 0 0 0

Xlate_Timeout 0 0 0 0

IPv6 ND tbl 0 0 0 0

VPN IKEv1 SA 0 0 0 0

VPN IKEv1 P2 0 0 0 0

VPN IKEv2 SA 0 0 0 0

VPN IKEv2 P2 0 0 0 0

VPN CTCP upd 0 0 0 0

VPN SDI upd 0 0 0 0

VPN DHCP upd 0 0 0 0

SIP Session 0 0 0 0

SIP Tx 0 0 0 0

SIP Pinhole 0 0 0 0

Route Session 0 0 0 0

Router ID 0 0 0 0

User-Identity 1 0 0 0

CTS SGTNAME 0 0 0 0

CTS PAC 0 0 0 0

TrustSec-SXP 0 0 0 0

IPv6 Route 0 0 0 0

STS Table 0 0 0 0

Logical Update Queue Information

Cur Max Total

Recv Q: 0 10 416

Xmit Q: 0 11 2118

>

ステップ 3 セカンダリデバイスで同じをして下さい。

ステップ 4.リーナ CLI から show failover state コマンドを実行して下さい:

firepower# show failover state

State Last Failure Reason Date/Time

This host - Primary

Active None

Other host - Secondary

Standby Ready Comm Failure 18:32:56 EEST Jul 21 2016

====Configuration State===

Sync Done

====Communication State===

Mac set

firepower#

ステップ 5.プライマリユニット（リーナ CLI）からの実行コンフィギュレーションを確認して下さい:

firepower# show running-config failover

failover

failover lan unit primary

failover lan interface fover_link Ethernet1/4


failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222

failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444

failover link fover_link Ethernet1/4

failover interface ip fover_link 1.1.1.1 255.255.255.0 standby 1.1.1.2

firepower#

firepower# show running-config interface

!

interface Ethernet1/2

management-only

nameif diagnostic

security-level 0

no ip address

!


description LAN/STATE Failover Interface

!


nameif Inside

security-level 0

ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11

!


nameif Outside

security-level 0

ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11

firepower#

4.切り替えフェールオーバーロールに任せて下さい

タスク要件:

FMC から、プライマリ/スタンバイにプライマリ/アクティブからフェールオーバーロールを、セカンダリ/スタンバイ、セカンダリ/アクティブ切り替えて下さい


ステップ 1.イメージに示すようにアイコンをクリックして下さい。

ステップ 2.イメージに示すようにポップアップウィンドウの操作を確認して下さい。

ステップ 3.イメージに示すように結果を確認して下さい。

リーナ CLI から、コマンドがプライマリ/アクティブユニットでフェールオーバーアクティブ実行されなかったことがわかります:

Jul 22 2016 10:39:26: %ASA-5-111008: User 'enable_15' executed the 'no failover active' command.

Jul 22 2016 10:39:26: %ASA-5-111010: User 'enable_15', running 'N/A' from IP 0.0.0.0, executed

'no failover active'

また show failover history コマンド出力でそれを確認できます:

firepower# show failover history

==========================================================================

From State To State Reason

10:39:26 EEST Jul 22 2016

Active Standby Ready Set by the config command

ステップ 4 確認の後で、プライマリユニットアクティブを再度作って下さい。

5.破損 HA ペアに任せて下さい

タスク要件:

FMC から、フェールオーバーペアを壊して下さい。



呼び出します。イメージに示すように通知をチェックして下さい。

ステップ 3 イメージに示すようにメッセージに注意して下さい。

ステップ 4.イメージに示すように FMC GUI からの結果を確認して下さい。

HA を壊す前後のプライマリユニットの show running-config:

HA 中断の前 HA 中断の後firepower# sh run: 保存される:: Serial number: FLM19267A63: ハードウェア： FPR9K-SM-36、135839 MB RAM、CPUXeon E5 シリーズ 2294 MHz、2 CPU （72 のコア）:NGFW バージョン 6.0.1.1!!ホスト名 firepowerenable password 8Ry2YjIyt7RRXU24 encryptednames!!interface Ethernet1/2管理だけnameif 診断セキュリティレベル 0IPアドレスがありません!!interface Ethernet1/4説明 LAN/STATE フェールオーバーインターフェイス!!interface Ethernet1/5中 nameifセキュリティレベル 0IP アドレス 192.168.75.10 255.255.255.0 スタンバイ192.168.75.11!!interface Ethernet1/6外部で nameifセキュリティレベル 0IP アドレス 192.168.76.10 255.255.255.0 スタンバイ192.168.76.11!!ftp モード受動態ngips conn 一致 vlan-idaccess-list CSM_FW_ACL_ 解説ルール ID 268447744:ACCESS POLICY: FTD9300 - Mandatory/1access-list CSM_FW_ACL_ 解説ルール ID 268447744: L4RULE: Allow_ICMPaccess-list CSM_FW_ACL_ 高度割り当て icmp ルール ID268447744 イベントログ両方access-list CSM_FW_ACL_ remark rule-id 268441600:ACCESS POLICY: FTD9300 - Default/1access-list CSM_FW_ACL_ remark rule-id 268441600: L4RULE: デフォルトアクションルールaccess-list CSM_FW_ACL_ 高度 permit ip any any ルール ID

firepower# sh run: 保存される:: Serial number: FLM19267A63: ハードウェア： FPR9K-SM-36、135839 MB RAM、CPUXeon E5 シリーズ 2294 MHz、2 CPU （72 のコア）:NGFW バージョン 6.0.1.1!!ホスト名 firepowerenable password 8Ry2YjIyt7RRXU24 encryptednames!!interface Ethernet1/2管理だけnameif 診断セキュリティレベル 0IPアドレスがありません!!interface Ethernet1/4nameif 無しセキュリティレベル無しno ip address!!interface Ethernet1/5中 nameifセキュリティレベル 0IP アドレス 192.168.75.10 255.255.255.0 スタンバイ192.168.75.11!!interface Ethernet1/6外部で nameifセキュリティレベル 0IP アドレス 192.168.76.10 255.255.255.0 スタンバイ192.168.76.11!!ftp モード受動態ngips conn 一致 vlan-idaccess-list CSM_FW_ACL_ 解説ルール ID 268447744:ACCESS POLICY: FTD9300 - Mandatory/1access-list CSM_FW_ACL_ 解説ルール ID 268447744: L4RULE: Allow_ICMPaccess-list CSM_FW_ACL_ 高度割り当て icmp ルール ID268447744 イベントログ両方access-list CSM_FW_ACL_ remark rule-id 268441600:ACCESS POLICY: FTD9300 - Default/1access-list CSM_FW_ACL_ remark rule-id 268441600: L4

268441600!!TCP MAP UM_STATIC_TCP_MAPTCP オプション範囲 6 7 割り当てTCP オプション範囲 9 255 割り当て緊急フラグ割り当て!!ページャー無しlogging enablelogging timestampスタンバイの記録buffer-size 100000 の記録logging buffered debuggingフラッシュする最小なしの 1024 の記録フラッシュする最大アロケーション 3076 の記録MTU 診断 1500mtu inside 1500mtu outside 1500フェールオーバープライマリフェールオーバー LAN ユニットフェールオーバー LAN インターフェイス fover_linkEthernet1/4フェールオーバー複製 httpフェールオーバー MAC アドレス Ethernet1/5 aaaa.bbbb.1111aaaa.bbbb.2222フェールオーバー MAC アドレス Ethernet1/6 aaaa.bbbb.3333aaaa.bbbb.4444フェールオーバーリンク fover_link Ethernet1/4フェールオーバーインターフェイス IP fover_link 1.1.1.1255.255.255.0 スタンバイ 1.1.1.2icmp 到達不能レート制限 1 バーストサイズ 1asdm 履歴イネーブル無しarp timeout 14400arp 許可無しaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00タイムアウト軽打 xlate 0:00:30タイムアウト conn 1:00:00 閉じかけの 0:10:00 UDP （ユーザ・データグラム・プロトコル） 0:02:00 sctp 0:02:00 icmp0:00:02タイムアウト sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp0:05:00 mgcp 軽打 0:05:00タイムアウト一口 0:30:00 sip_media 0:02:00 は 0:03:00 一口接続解除 0:02:00 を一口誘いますタイムアウト一口仮メディア 0:02:00 ユーザ認証 0:05:00 絶対的存在タイムアウト TCP プロキシ再組立て 0:00:30タイムアウト浮かべ conn 0:00:00AAA プロキシ制限ディセーブルno snmp-server locationno snmp-server contactno snmp-server enable traps snmp 認証結合リンクダウンコールドスタートウォームスタート

RULE: デフォルトアクションルールaccess-list CSM_FW_ACL_ 高度 permit ip any any ルール ID268441600!!TCP MAP UM_STATIC_TCP_MAPTCP オプション範囲 6 7 割り当てTCP オプション範囲 9 255 割り当て緊急フラグ割り当て!!ページャー無しlogging enablelogging timestampスタンバイの記録buffer-size 100000 の記録logging buffered debuggingフラッシュする最小なしの 1024 の記録フラッシュする最大アロケーション 3076 の記録MTU 診断 1500mtu inside 1500mtu outside 1500フェールオーバー無しモニタインターフェイス service-module 無しicmp 到達不能レート制限 1 バーストサイズ 1asdm 履歴イネーブル無しarp timeout 14400arp 許可無しaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00タイムアウト軽打 xlate 0:00:30タイムアウト conn 1:00:00 閉じかけの 0:10:00 UDP （ユーザ・データグラム・プロトコル） 0:02:00 sctp 0:02:00 icmp0:00:02タイムアウト sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp0:05:00 mgcp 軽打 0:05:00タイムアウト一口 0:30:00 sip_media 0:02:00 は 0:03:00 一口接続解除 0:02:00 を一口誘いますタイムアウト一口仮メディア 0:02:00 ユーザ認証 0:05:00 絶対的存在タイムアウト TCP プロキシ再組立て 0:00:30タイムアウト浮かべ conn 0:00:00AAA プロキシ制限ディセーブルno snmp-server locationno snmp-server contactno snmp-server enable traps snmp 認証結合リンクダウンコールドスタートウォームスタート無限暗号 IPSecセキュリティアソシエーション結合 pmtu エージング暗号カリフォルニア trustpool ポリシーtelnet timeout 5ssh stricthostkeycheckssh timeout 5ssh 鍵交換グループ dh-group1-sha1コンソールタイムアウト 0

無限暗号 IPSecセキュリティアソシエーション結合 pmtu エージング暗号カリフォルニア trustpool ポリシーtelnet timeout 5ssh stricthostkeycheckssh timeout 5ssh 鍵交換グループ dh-group1-sha1コンソールタイムアウト 0ダイナミックアクセスポリシーレコード DfltAccessPolicy!!class-map inspection_default一致デフォルトインスペクショントラフィック!!!!policy-map 型 Inspect dns preset_dns_mapパラメータメッセージの長さ最大クライアント自動メッセージの長さ最大 512policy-map 型 Inspect IP オプションUM_STATIC_IP_OPTIONS_MAPパラメータeool 操作割り当てnop 操作割り当てルータアラート操作割り当てpolicy-map global_policyクラス inspection_defaultInspect dns preset_dns_mapInspect ftpInspect h323 h225Inspect h323 RASInspect リモートシェルプロトコルInspect rtspInspect sqlnetスキニー InspectInspect sunrpcInspect xdmcpInspect 一口Inspect NetBIOSInspect tftpInspect icmpInspect icmp エラーInspect dcerpcInspect IP オプション UM_STATIC_IP_OPTIONS_MAPclass class-default接続詳細オプション UM_STATIC_TCP_MAP を設定して下さい!!グローバルなサービスポリシー global_policy敏速なホスト名コンテキストcall-homeプロファイル CiscoTAC-1アクティブ無し宛先アドレス http

ダイナミックアクセスポリシーレコード DfltAccessPolicy!!class-map inspection_default一致デフォルトインスペクショントラフィック!!!!policy-map 型 Inspect dns preset_dns_mapパラメータメッセージの長さ最大クライアント自動メッセージの長さ最大 512policy-map 型 Inspect IP オプションUM_STATIC_IP_OPTIONS_MAPパラメータeool 操作割り当てnop 操作割り当てルータアラート操作割り当てpolicy-map global_policyクラス inspection_defaultInspect dns preset_dns_mapInspect ftpInspect h323 h225Inspect h323 RASInspect リモートシェルプロトコルInspect rtspInspect sqlnetスキニー InspectInspect sunrpcInspect xdmcpInspect 一口Inspect NetBIOSInspect tftpInspect icmpInspect icmp エラーInspect dcerpcInspect IP オプション UM_STATIC_IP_OPTIONS_MAPclass class-default接続詳細オプション UM_STATIC_TCP_MAP を設定して下さい!!グローバルなサービスポリシー global_policy敏速なホスト名コンテキストcall-homeプロファイル CiscoTAC-1アクティブ無し宛先アドレス httphttps://tools.cisco.com/its/service/oddce/services/DDCEService宛先アドレスメール [email protected]宛先転送する方式 http定期講読にアラートグループ診断定期講読にアラートグループ環境定期講読にアラートグループコンポーネント定期的な月刊雑誌定期講読にアラートグループ設定定期的な月刊雑誌

https://tools.cisco.com/its/service/oddce/services/DDCEService

https://tools.cisco.com/its/service/oddce/services/DDCEService宛先アドレスメール [email protected]宛先転送する方式 http定期講読にアラートグループ診断定期講読にアラートグループ環境定期講読にアラートグループコンポーネント定期的な月刊雑誌定期講読にアラートグループ設定定期的な月刊雑誌定期講読にアラートグループ定期的な毎日テレメトリーのCryptochecksum:933c594fc0264082edc0f24bad358031: 最後firepower#

定期講読にアラートグループ定期的な毎日テレメトリーのCryptochecksum:fb6f5c369dee730b9125650517dbb059: 最後firepower#

HA を壊す前後のセカンダリユニットの show running-config は表に示すようにここにあります。

HA 中断の前 HA 中断の後firepower# sh run: 保存される:: Serial number: FLM19206H7T: ハードウェア： FPR9K-SM-36、135841 MB RAM、CPUXeon E5 シリーズ 2294 MHz、2 CPU （72 のコア）:NGFW バージョン 6.0.1.1!!ホスト名 firepowerenable password 8Ry2YjIyt7RRXU24 encryptednames!!interface Ethernet1/2管理だけnameif 診断セキュリティレベル 0IPアドレスがありません!!interface Ethernet1/4説明 LAN/STATE フェールオーバーインターフェイス!!interface Ethernet1/5中 nameifセキュリティレベル 0IP アドレス 192.168.75.10 255.255.255.0 スタンバイ192.168.75.11!!interface Ethernet1/6外部で nameifセキュリティレベル 0IP アドレス 192.168.76.10 255.255.255.0 スタンバイ192.168.76.11!!ftp モード受動態ngips conn 一致 vlan-idaccess-list CSM_FW_ACL_ 解説ルール ID 268447744:

firepower# sh run: 保存される:: Serial number: FLM19206H7T: ハードウェア： FPR9K-SM-36、135841 MB RAM、CPUXeon E5 シリーズ 2294 MHz、2 CPU （72 のコア）:NGFW バージョン 6.0.1.1!!ホスト名 firepowerenable password 8Ry2YjIyt7RRXU24 encryptednames!!interface Ethernet1/2管理だけnameif 診断セキュリティレベル 0IPアドレスがありません!!interface Ethernet1/4shutdownnameif 無しセキュリティレベル無しno ip address!!interface Ethernet1/5shutdownnameif 無しセキュリティレベル無しno ip address!!interface Ethernet1/6shutdownnameif 無しセキュリティレベル無しno ip address!!


ACCESS POLICY: FTD9300 - Mandatory/1access-list CSM_FW_ACL_ 解説ルール ID 268447744: L4RULE: Allow_ICMPaccess-list CSM_FW_ACL_ 高度割り当て icmp ルール ID268447744 イベントログ両方access-list CSM_FW_ACL_ remark rule-id 268441600:ACCESS POLICY: FTD9300 - Default/1access-list CSM_FW_ACL_ remark rule-id 268441600: L4RULE: デフォルトアクションルールaccess-list CSM_FW_ACL_ 高度 permit ip any any ルール ID268441600!!TCP MAP UM_STATIC_TCP_MAPTCP オプション範囲 6 7 割り当てTCP オプション範囲 9 255 割り当て緊急フラグ割り当て!!ページャー無しlogging enablelogging timestampスタンバイの記録buffer-size 100000 の記録logging buffered debuggingフラッシュする最小なしの 1024 の記録フラッシュする最大アロケーション 3076 の記録MTU 診断 1500mtu inside 1500mtu outside 1500フェールオーバーフェールオーバー LAN ユニットセカンダリフェールオーバー LAN インターフェイス fover_linkEthernet1/4フェールオーバー複製 httpフェールオーバー MAC アドレス Ethernet1/5 aaaa.bbbb.1111aaaa.bbbb.2222フェールオーバー MAC アドレス Ethernet1/6 aaaa.bbbb.3333aaaa.bbbb.4444フェールオーバーリンク fover_link Ethernet1/4フェールオーバーインターフェイス IP fover_link 1.1.1.1255.255.255.0 スタンバイ 1.1.1.2icmp 到達不能レート制限 1 バーストサイズ 1asdm 履歴イネーブル無しarp timeout 14400arp 許可無しaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00タイムアウト軽打 xlate 0:00:30タイムアウト conn 1:00:00 閉じかけの 0:10:00 UDP （ユーザ・データグラム・プロトコル） 0:02:00 sctp 0:02:00 icmp0:00:02タイムアウト sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp0:05:00 mgcp 軽打 0:05:00タイムアウト一口 0:30:00 sip_media 0:02:00 は 0:03:00 一口

ftp モード受動態ngips conn 一致 vlan-idaccess-list CSM_FW_ACL_ 解説ルール ID 268447744:ACCESS POLICY: FTD9300 - Mandatory/1access-list CSM_FW_ACL_ 解説ルール ID 268447744: L4RULE: Allow_ICMPaccess-list CSM_FW_ACL_ 高度割り当て icmp ルール ID268447744 イベントログ両方access-list CSM_FW_ACL_ remark rule-id 268441600:ACCESS POLICY: FTD9300 - Default/1access-list CSM_FW_ACL_ remark rule-id 268441600: L4RULE: デフォルトアクションルールaccess-list CSM_FW_ACL_ 高度 permit ip any any ルール ID268441600!!TCP MAP UM_STATIC_TCP_MAPTCP オプション範囲 6 7 割り当てTCP オプション範囲 9 255 割り当て緊急フラグ割り当て!!ページャー無しno logging メッセージ 106015no logging メッセージ 313001no logging メッセージ 313008no logging メッセージ 106023no logging メッセージ 710003no logging メッセージ 106100no logging メッセージ 302015no logging メッセージ 302014no logging メッセージ 302013no logging メッセージ 302018no logging メッセージ 302017no logging メッセージ 302016no logging メッセージ 302021no logging メッセージ 302020MTU 診断 1500フェールオーバー無しモニタインターフェイス service-module 無しicmp 到達不能レート制限 1 バーストサイズ 1asdm 履歴イネーブル無しarp timeout 14400arp 許可無しaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00タイムアウト軽打 xlate 0:00:30タイムアウト conn 1:00:00 閉じかけの 0:10:00 UDP （ユーザ・データグラム・プロトコル） 0:02:00 sctp 0:02:00 icmp0:00:02タイムアウト sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp0:05:00 mgcp 軽打 0:05:00タイムアウト一口 0:30:00 sip_media 0:02:00 は 0:03:00 一口接続解除 0:02:00 を一口誘いますタイムアウト一口仮メディア 0:02:00 ユーザ認証 0:05:00 絶対

接続解除 0:02:00 を一口誘いますタイムアウト一口仮メディア 0:02:00 ユーザ認証 0:05:00 絶対的存在タイムアウト TCP プロキシ再組立て 0:00:30タイムアウト浮かべ conn 0:00:00ユーザ識別デフォルトドメインローカルAAA プロキシ制限ディセーブルno snmp-server locationno snmp-server contactno snmp-server enable traps snmp 認証結合リンクダウンコールドスタートウォームスタート無限暗号 IPSecセキュリティアソシエーション結合 pmtu エージング暗号カリフォルニア trustpool ポリシーtelnet timeout 5ssh stricthostkeycheckssh timeout 5ssh 鍵交換グループ dh-group1-sha1コンソールタイムアウト 0ダイナミックアクセスポリシーレコード DfltAccessPolicy!!class-map inspection_default一致デフォルトインスペクショントラフィック!!!!policy-map 型 Inspect dns preset_dns_mapパラメータメッセージの長さ最大クライアント自動メッセージの長さ最大 512policy-map 型 Inspect IP オプションUM_STATIC_IP_OPTIONS_MAPパラメータeool 操作割り当てnop 操作割り当てルータアラート操作割り当てpolicy-map global_policyクラス inspection_defaultInspect dns preset_dns_mapInspect ftpInspect h323 h225Inspect h323 RASInspect リモートシェルプロトコルInspect rtspInspect sqlnetスキニー InspectInspect sunrpcInspect xdmcpInspect 一口Inspect NetBIOSInspect tftpInspect icmpInspect icmp エラーInspect dcerpc

的存在タイムアウト TCP プロキシ再組立て 0:00:30タイムアウト浮かべ conn 0:00:00AAA プロキシ制限ディセーブルno snmp-server locationno snmp-server contactno snmp-server enable traps snmp 認証結合リンクダウンコールドスタートウォームスタート無限暗号 IPSecセキュリティアソシエーション結合 pmtu エージング暗号カリフォルニア trustpool ポリシーtelnet timeout 5ssh stricthostkeycheckssh timeout 5ssh 鍵交換グループ dh-group1-sha1コンソールタイムアウト 0ダイナミックアクセスポリシーレコード DfltAccessPolicy!!class-map inspection_default一致デフォルトインスペクショントラフィック!!!!policy-map 型 Inspect dns preset_dns_mapパラメータメッセージの長さ最大クライアント自動メッセージの長さ最大 512policy-map 型 Inspect IP オプションUM_STATIC_IP_OPTIONS_MAPパラメータeool 操作割り当てnop 操作割り当てルータアラート操作割り当てpolicy-map global_policyクラス inspection_defaultInspect dns preset_dns_mapInspect ftpInspect h323 h225Inspect h323 RASInspect リモートシェルプロトコルInspect rtspInspect sqlnetスキニー InspectInspect sunrpcInspect xdmcpInspect 一口Inspect NetBIOSInspect tftpInspect icmpInspect icmp エラーInspect dcerpcInspect IP オプション UM_STATIC_IP_OPTIONS_MAPclass class-default接続詳細オプション UM_STATIC_TCP_MAP を設定して下さ

Inspect IP オプション UM_STATIC_IP_OPTIONS_MAPclass class-default接続詳細オプション UM_STATIC_TCP_MAP を設定して下さい!!グローバルなサービスポリシー global_policy敏速なホスト名コンテキストcall-homeプロファイル CiscoTAC-1アクティブ無し宛先アドレス httphttps://tools.cisco.com/its/service/oddce/services/DDCEService宛先アドレスメール [email protected]宛先転送する方式 http定期講読にアラートグループ診断定期講読にアラートグループ環境定期講読にアラートグループコンポーネント定期的な月刊雑誌定期講読にアラートグループ設定定期的な月刊雑誌定期講読にアラートグループ定期的な毎日テレメトリーのCryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84: 最後firepower#

い!!グローバルなサービスポリシー global_policy敏速なホスト名コンテキストcall-homeプロファイル CiscoTAC-1アクティブ無し宛先アドレス httphttps://tools.cisco.com/its/service/oddce/services/DDCEService宛先アドレスメール [email protected]宛先転送する方式 http定期講読にアラートグループ診断定期講読にアラートグループ環境定期講読にアラートグループコンポーネント定期的な月刊雑誌定期講読にアラートグループ設定定期的な月刊雑誌定期講読にアラートグループ定期的な毎日テレメトリーのCryptochecksum:08ed87194e9f5cd9149fab3c0e9cefc3: 最後firepower#

HA を壊すために注意するべき要点:

プライマリユニットセカンダリユニットすべてのフェールオーバー設定は取除かれますスタンバイ IP は残りますすべての設定は取除かれます

ステップ 5 このタスクを終えた後、HA ペアを作り直して下さい。

タスク 6.ディセーブル HA ペア

タスク要件:

FMC から、フェールオーバーペアを無効にして下さい。



呼び出します。通知をチェックし、イメージに示すように確認して下さい。



ステップ 3 HA を削除した後、デバイスは両方とも FMC から（取除かれる）登録を解除されます。

リーナ CLI からの show running-config 結果は表に示すようにここにあります:

プライマリユニットセカンダリユニットfirepower# sh run: 保存される:: Serial number: FLM19267A63: ハードウェア： FPR9K-SM-36、135839 MB RAM、CPUXeon E5 シリーズ 2294 MHz、2 CPU （72 のコア）:NGFW バージョン 6.0.1.1!!ホスト名 firepowerenable password 8Ry2YjIyt7RRXU24 encryptednames!!interface Ethernet1/2管理だけnameif 診断セキュリティレベル 0IPアドレスがありません!!interface Ethernet1/4説明 LAN/STATE フェールオーバーインターフェイス!!interface Ethernet1/5中 nameifセキュリティレベル 0IP アドレス 192.168.75.10 255.255.255.0 スタンバイ192.168.75.11!!interface Ethernet1/6外部で nameifセキュリティレベル 0IP アドレス 192.168.76.10 255.255.255.0 スタンバイ192.168.76.11!!ftp モード受動態ngips conn 一致 vlan-idaccess-list CSM_FW_ACL_ 解説ルール ID 268447744:

firepower# sh run: 保存される:: Serial number: FLM19206H7T: ハードウェア： FPR9K-SM-36、135841 MB RAM、CPUXeon E5 シリーズ 2294 MHz、2 CPU （72 のコア）:NGFW バージョン 6.0.1.1!!ホスト名 firepowerenable password 8Ry2YjIyt7RRXU24 encryptednames!!interface Ethernet1/2管理だけnameif 診断セキュリティレベル 0IPアドレスがありません!!interface Ethernet1/4説明 LAN/STATE フェールオーバーインターフェイス!!interface Ethernet1/5中 nameifセキュリティレベル 0IP アドレス 192.168.75.10 255.255.255.0 スタンバイ192.168.75.11!!interface Ethernet1/6外部で nameifセキュリティレベル 0IP アドレス 192.168.76.10 255.255.255.0 スタンバイ192.168.76.11!!ftp モード受動態ngips conn 一致 vlan-idaccess-list CSM_FW_ACL_ 解説ルール ID 268447744:

ACCESS POLICY: FTD9300 - Mandatory/1access-list CSM_FW_ACL_ 解説ルール ID 268447744: L4RULE: Allow_ICMPaccess-list CSM_FW_ACL_ 高度割り当て icmp ルール ID268447744 イベントログ両方access-list CSM_FW_ACL_ remark rule-id 268441600:ACCESS POLICY: FTD9300 - Default/1access-list CSM_FW_ACL_ remark rule-id 268441600: L4RULE: デフォルトアクションルールaccess-list CSM_FW_ACL_ 高度 permit ip any any ルール ID268441600!!TCP MAP UM_STATIC_TCP_MAPTCP オプション範囲 6 7 割り当てTCP オプション範囲 9 255 割り当て緊急フラグ割り当て!!ページャー無しlogging enablelogging timestampスタンバイの記録buffer-size 100000 の記録logging buffered debuggingフラッシュする最小なしの 1024 の記録フラッシュする最大アロケーション 3076 の記録MTU 診断 1500mtu inside 1500mtu outside 1500フェールオーバープライマリフェールオーバー LAN ユニットフェールオーバー LAN インターフェイス fover_linkEthernet1/4フェールオーバー複製 httpフェールオーバー MAC アドレス Ethernet1/5 aaaa.bbbb.1111aaaa.bbbb.2222フェールオーバー MAC アドレス Ethernet1/6 aaaa.bbbb.3333aaaa.bbbb.4444フェールオーバーリンク fover_link Ethernet1/4フェールオーバーインターフェイス IP fover_link 1.1.1.1255.255.255.0 スタンバイ 1.1.1.2icmp 到達不能レート制限 1 バーストサイズ 1asdm 履歴イネーブル無しarp timeout 14400arp 許可無しaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00タイムアウト軽打 xlate 0:00:30タイムアウト conn 1:00:00 閉じかけの 0:10:00 UDP （ユーザ・データグラム・プロトコル） 0:02:00 sctp 0:02:00 icmp0:00:02タイムアウト sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp0:05:00 mgcp 軽打 0:05:00タイムアウト一口 0:30:00 sip_media 0:02:00 は 0:03:00 一口

ACCESS POLICY: FTD9300 - Mandatory/1access-list CSM_FW_ACL_ 解説ルール ID 268447744: L4RULE: Allow_ICMPaccess-list CSM_FW_ACL_ 高度割り当て icmp ルール ID268447744 イベントログ両方access-list CSM_FW_ACL_ remark rule-id 268441600:ACCESS POLICY: FTD9300 - Default/1access-list CSM_FW_ACL_ remark rule-id 268441600: L4RULE: デフォルトアクションルールaccess-list CSM_FW_ACL_ 高度 permit ip any any ルール ID268441600!!TCP MAP UM_STATIC_TCP_MAPTCP オプション範囲 6 7 割り当てTCP オプション範囲 9 255 割り当て緊急フラグ割り当て!!ページャー無しlogging enablelogging timestampスタンバイの記録buffer-size 100000 の記録logging buffered debuggingフラッシュする最小なしの 1024 の記録フラッシュする最大アロケーション 3076 の記録MTU 診断 1500mtu inside 1500mtu outside 1500フェールオーバーフェールオーバー LAN ユニットセカンダリフェールオーバー LAN インターフェイス fover_linkEthernet1/4フェールオーバー複製 httpフェールオーバー MAC アドレス Ethernet1/5 aaaa.bbbb.1111aaaa.bbbb.2222フェールオーバー MAC アドレス Ethernet1/6 aaaa.bbbb.3333aaaa.bbbb.4444フェールオーバーリンク fover_link Ethernet1/4フェールオーバーインターフェイス IP fover_link 1.1.1.1255.255.255.0 スタンバイ 1.1.1.2icmp 到達不能レート制限 1 バーストサイズ 1asdm 履歴イネーブル無しarp timeout 14400arp 許可無しaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00タイムアウト軽打 xlate 0:00:30タイムアウト conn 1:00:00 閉じかけの 0:10:00 UDP （ユーザ・データグラム・プロトコル） 0:02:00 sctp 0:02:00 icmp0:00:02タイムアウト sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp0:05:00 mgcp 軽打 0:05:00タイムアウト一口 0:30:00 sip_media 0:02:00 は 0:03:00 一口

接続解除 0:02:00 を一口誘いますタイムアウト一口仮メディア 0:02:00 ユーザ認証 0:05:00 絶対的存在タイムアウト TCP プロキシ再組立て 0:00:30タイムアウト浮かべ conn 0:00:00AAA プロキシ制限ディセーブルno snmp-server locationno snmp-server contactno snmp-server enable traps snmp 認証結合リンクダウンコールドスタートウォームスタート無限暗号 IPSecセキュリティアソシエーション結合 pmtu エージング暗号カリフォルニア trustpool ポリシーtelnet timeout 5ssh stricthostkeycheckssh timeout 5ssh 鍵交換グループ dh-group1-sha1コンソールタイムアウト 0ダイナミックアクセスポリシーレコード DfltAccessPolicy!!class-map inspection_default一致デフォルトインスペクショントラフィック!!!!policy-map 型 Inspect dns preset_dns_mapパラメータメッセージの長さ最大クライアント自動メッセージの長さ最大 512policy-map 型 Inspect IP オプションUM_STATIC_IP_OPTIONS_MAPパラメータeool 操作割り当てnop 操作割り当てルータアラート操作割り当てpolicy-map global_policyクラス inspection_defaultInspect dns preset_dns_mapInspect ftpInspect h323 h225Inspect h323 RASInspect リモートシェルプロトコルInspect rtspInspect sqlnetスキニー InspectInspect sunrpcInspect xdmcpInspect 一口Inspect NetBIOSInspect tftpInspect icmpInspect icmp エラーInspect dcerpcInspect IP オプション UM_STATIC_IP_OPTIONS_MAP

接続解除 0:02:00 を一口誘いますタイムアウト一口仮メディア 0:02:00 ユーザ認証 0:05:00 絶対的存在タイムアウト TCP プロキシ再組立て 0:00:30タイムアウト浮かべ conn 0:00:00ユーザ識別デフォルトドメインローカルAAA プロキシ制限ディセーブルno snmp-server locationno snmp-server contactno snmp-server enable traps snmp 認証結合リンクダウンコールドスタートウォームスタート無限暗号 IPSecセキュリティアソシエーション結合 pmtu エージング暗号カリフォルニア trustpool ポリシーtelnet timeout 5ssh stricthostkeycheckssh timeout 5ssh 鍵交換グループ dh-group1-sha1コンソールタイムアウト 0ダイナミックアクセスポリシーレコード DfltAccessPolicy!!class-map inspection_default一致デフォルトインスペクショントラフィック!!!!policy-map 型 Inspect dns preset_dns_mapパラメータメッセージの長さ最大クライアント自動メッセージの長さ最大 512policy-map 型 Inspect IP オプションUM_STATIC_IP_OPTIONS_MAPパラメータeool 操作割り当てnop 操作割り当てルータアラート操作割り当てpolicy-map global_policyクラス inspection_defaultInspect dns preset_dns_mapInspect ftpInspect h323 h225Inspect h323 RASInspect リモートシェルプロトコルInspect rtspInspect sqlnetスキニー InspectInspect sunrpcInspect xdmcpInspect 一口Inspect NetBIOSInspect tftpInspect icmpInspect icmp エラーInspect dcerpc

class class-default接続詳細オプション UM_STATIC_TCP_MAP を設定して下さい!!グローバルなサービスポリシー global_policy敏速なホスト名コンテキストcall-homeプロファイル CiscoTAC-1アクティブ無し宛先アドレス httphttps://tools.cisco.com/its/service/oddce/services/DDCEService宛先アドレスメール [email protected]宛先転送する方式 http定期講読にアラートグループ診断定期講読にアラートグループ環境定期講読にアラートグループコンポーネント定期的な月刊雑誌定期講読にアラートグループ設定定期的な月刊雑誌定期講読にアラートグループ定期的な毎日テレメトリーのCryptochecksum:933c594fc0264082edc0f24bad358031: 最後firepower#

Inspect IP オプション UM_STATIC_IP_OPTIONS_MAPclass class-default接続詳細オプション UM_STATIC_TCP_MAP を設定して下さい!!グローバルなサービスポリシー global_policy敏速なホスト名コンテキストcall-homeプロファイル CiscoTAC-1アクティブ無し宛先アドレス httphttps://tools.cisco.com/its/service/oddce/services/DDCEService宛先アドレスメール [email protected]宛先転送する方式 http定期講読にアラートグループ診断定期講読にアラートグループ環境定期講読にアラートグループコンポーネント定期的な月刊雑誌定期講読にアラートグループ設定定期的な月刊雑誌定期講読にアラートグループ定期的な毎日テレメトリーのCryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84: 最後firepower#

ステップ 4 FTD デバイスは両方とも FMC から登録を解除されました:

> show managers

No managers configured.

FMC からの HA を無効にするために注意するべき要点:

プライマリユニットセカンダリユニットデバイスは FMC から削除されます。設定は FTD デバイスから取除かれません

デバイスは FMC から削除されます。設定は FTD デバイスから取除かれません

ステップ 5. FTD デバイスからフェールオーバー設定を取除くためにこのコマンドを実行して下さい:

> configure high-availability disable

High-availability will be disabled. Do you really want to continue?

Please enter 'YES' or 'NO': yes

Successfully disabled high-availability.

注: 両方のユニットの上のコマンドを実行しなければなりません

上をした後:

プライマリユニットセカンダリユニット> show failoverフェールオーバーフェールオーバーユニットセカンダリフェールオーバー LAN インターフェイス: 設定されない

>show failoverフェールオーバーを離れた（疑似スタンバイ）フェールオーバーユニットセカンダリフェールオーバー LAN インターフェイス: FOVEREthernet1/3.205 （）



タイムアウト 0:00:00 を再接続して下さいユニットポール周波数 1秒、holdtime 15 秒ポール周波数を、holdtime 25 秒 5 秒インターフェイスさせて下さいポリシー 1 をインターフェイスさせて下さい1041 最大の監視されたインターフェイス 2設定されない MAC アドレス移動通知間隔>

タイムアウト 0:00:00 を再接続して下さいユニットポール周波数 1秒、holdtime 15 秒ポール周波数を、holdtime 25 秒 5 秒インターフェイスさせて下さいポリシー 1 をインターフェイスさせて下さい1041 最大の監視されたインターフェイス 0設定されない MAC アドレス移動通知間隔フェールオーバー複製 http>

プライマリセカンダリfirepower# show run!!ホスト名 firepowerenable password 8Ry2YjIyt7RRXU24 encryptednamesarp timeout 14400arp 許可無しarp レート制限 16384!!インターフェイス GigabitEthernet1/1 外部で nameif 手動 cts プロパゲート sgt 保存untag 無効になる信頼されるポリシー静的な sgt セキュリティレベル 0IP アドレス 10.1.1.1 255.255.255.0 <---- スタンバイIP は取除かれました!!インターフェイス GigabitEthernet1/2 中 nameif 手動 cts プロパゲート sgt 保存untag 無効になる信頼されるポリシー静的な sgt セキュリティレベル 0IP アドレス 192.168.1.1 255.255.255.0 <---- スタンバイ IP は取除かれました!!インターフェイス GigabitEthernet1/3 説明 LAN フェールオーバーインターフェイス!!インターフェイス GigabitEthernet1/4 説明状態フェールオーバーインターフェイス!!インターフェイス GigabitEthernet1/5 shutdown nameif 無しセキュリティレベル無し IPアドレスがありません!!インターフェイス GigabitEthernet1/6 shutdown nameif 無しセキュリティレベル無し

firepower# show run!!ホスト名 firepowerenable password 8Ry2YjIyt7RRXU24 encryptednamesarp timeout 14400arp 許可無しarp レート制限 16384!!インターフェイス GigabitEthernet1/1 shutdown nameif 無しセキュリティレベル無し IPアドレスがありません!!インターフェイス GigabitEthernet1/2 shutdown nameif 無しセキュリティレベル無し IPアドレスがありません!!インターフェイス GigabitEthernet1/3 説明 LAN フェールオーバーインターフェイス!!インターフェイス GigabitEthernet1/4 説明状態フェールオーバーインターフェイス!!インターフェイス GigabitEthernet1/5 shutdown nameif 無しセキュリティレベル無し IPアドレスがありません!!インターフェイス GigabitEthernet1/6 shutdown nameif 無しセキュリティレベル無し IPアドレスがありません!!インターフェイス GigabitEthernet1/7 shutdown nameif 無しセキュリティレベル無し

IPアドレスがありません!!インターフェイス GigabitEthernet1/7 shutdown nameif 無しセキュリティレベル無し IPアドレスがありません!!インターフェイス GigabitEthernet1/8 shutdown nameif 無しセキュリティレベル無し IPアドレスがありません!!インターフェイス Management1/1 管理だけ nameif 診断手動 cts プロパゲート sgt 保存untag 無効になる信頼されるポリシー静的な sgt セキュリティレベル 0 IPアドレスがありません!!ftp モード受動態ngips conn 一致 vlan-idaccess-list CSM_FW_ACL_ 解説ルール ID 9998:PREFILTER ポリシー: デフォルトトンネルおよび優先順位ポリシーaccess-list CSM_FW_ACL_ 解説ルール ID 9998:RULE : デフォルトトンネル処理ルールaccess-list CSM_FW_ACL_ 高度割り当て ipinip ルールID 9998access-list CSM_FW_ACL_ 高度割り当て 41 ルール ID9998access-list CSM_FW_ACL_ 高度割り当て gre ルールID 9998access-list CSM_FW_ACL_ 高度割り当て UDP （ユーザ・データグラム・プロトコル） eq 3544 ルール ID9998access-list CSM_FW_ACL_ 解説ルール ID 268435456:ACCESS POLICY: FTD_HA - Default/1access-list CSM_FW_ACL_ 解説ルール ID 268435456:L4 RULE: デフォルトアクションルールaccess-list CSM_FW_ACL_ 高度 permit ip any any ルール ID 268435456!!TCP MAP UM_STATIC_TCP_MAP TCP オプション範囲 6 7 割り当て TCP オプション範囲 9 18 割り当て TCP オプション範囲 20 255 割り当て TCP オプション md5 オフ緊急フラグ割り当て!!

IPアドレスがありません!!インターフェイス GigabitEthernet1/8 shutdown nameif 無しセキュリティレベル無し IPアドレスがありません!!インターフェイス Management1/1 管理だけ nameif 診断手動 cts プロパゲート sgt 保存untag 無効になる信頼されるポリシー静的な sgt セキュリティレベル 0 IPアドレスがありません!!ftp モード受動態ngips conn 一致 vlan-idaccess-list CSM_FW_ACL_ 解説ルール ID 9998:PREFILTER ポリシー: デフォルトトンネルおよび優先順位ポリシーaccess-list CSM_FW_ACL_ 解説ルール ID 9998:RULE : デフォルトトンネル処理ルールaccess-list CSM_FW_ACL_ 高度割り当て ipinip ルールID 9998access-list CSM_FW_ACL_ 高度割り当て 41 ルール ID9998access-list CSM_FW_ACL_ 高度割り当て gre ルールID 9998access-list CSM_FW_ACL_ 高度割り当て UDP （ユーザ・データグラム・プロトコル） eq 3544 ルール ID9998access-list CSM_FW_ACL_ 解説ルール ID 268435456:ACCESS POLICY: FTD_HA - Default/1access-list CSM_FW_ACL_ 解説ルール ID 268435456:L4 RULE: デフォルトアクションルールaccess-list CSM_FW_ACL_ 高度 permit ip any any ルール ID 268435456!!TCP MAP UM_STATIC_TCP_MAP TCP オプション範囲 6 7 割り当て TCP オプション範囲 9 18 割り当て TCP オプション範囲 20 255 割り当て TCP オプション md5 オフ緊急フラグ割り当て!!ページャー無しlogging enablelogging timestamplogging buffered debuggingフラッシュする最小なしの 1024 の記録フラッシュする最大アロケーション 3076 の記録

ページャー無しlogging enablelogging timestamplogging buffered debuggingフラッシュする最小なしの 1024 の記録フラッシュする最大アロケーション 3076 の記録no logging メッセージ 106015no logging メッセージ 313001no logging メッセージ 313008no logging メッセージ 106023no logging メッセージ 710005no logging メッセージ 710003no logging メッセージ 106100no logging メッセージ 302015no logging メッセージ 302014no logging メッセージ 302013no logging メッセージ 302018no logging メッセージ 302017no logging メッセージ 302016no logging メッセージ 302021no logging メッセージ 302020mtu outside 1500mtu inside 1500MTU 診断 1500フェールオーバー無しicmp 到達不能レート制限 1 バーストサイズ 1asdm 履歴イネーブル無しaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00タイムアウト軽打 xlate 0:00:30タイムアウト conn 1:00:00 閉じかけの 0:10:00 UDP（ユーザ・データグラム・プロトコル） 0:02:00 sctp0:02:00 icmp 0:00:02タイムアウト sunrpc 0:10:00 h323 0:05:00 h2251:00:00 mgcp 0:05:00 mgcp 軽打 0:05:00タイムアウト一口 0:30:00 sip_media 0:02:00 は0:03:00 一口接続解除 0:02:00 を一口誘いますタイムアウト一口仮メディア 0:02:00 ユーザ認証0:05:00 絶対的存在タイムアウト TCP プロキシ再組立て 0:00:30タイムアウト浮かべ conn 0:00:00タイムアウト conn ホールドダウン 0:00:15AAA プロキシ制限ディセーブル192.168.1.100 コミュニティ*****バージョン 2c の外部の snmp-server hostno snmp-server locationno snmp-server contactsnmp-server community *****sw リセットボタンを保守して下さい無限暗号 IPSecセキュリティアソシエーション結合pmtu エージング暗号カリフォルニア trustpool ポリシーtelnet timeout 5

no logging メッセージ 106015no logging メッセージ 313001no logging メッセージ 313008no logging メッセージ 106023no logging メッセージ 710005no logging メッセージ 710003no logging メッセージ 106100no logging メッセージ 302015no logging メッセージ 302014no logging メッセージ 302013no logging メッセージ 302018no logging メッセージ 302017no logging メッセージ 302016no logging メッセージ 302021no logging メッセージ 302020mtu outside 1500mtu inside 1500MTU 診断 1500フェールオーバー無しフェールオーバー LAN ユニットセカンダリフェールオーバー LAN インターフェイス FOVERGigabitEthernet1/3フェールオーバー複製 httpフェールオーバーリンク状態 GigabitEthernet1/4フェールオーバーインターフェイス IP FOVER1.1.1.1 255.255.255.0 スタンバイ 1.1.1.2フェールオーバーインターフェイス IP 状態 2.2.2.1255.255.255.0 スタンバイ 2.2.2.2icmp 到達不能レート制限 1 バーストサイズ 1asdm 履歴イネーブル無しaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00タイムアウト軽打 xlate 0:00:30タイムアウト conn 1:00:00 閉じかけの 0:10:00 UDP（ユーザ・データグラム・プロトコル） 0:02:00 sctp0:02:00 icmp 0:00:02タイムアウト sunrpc 0:10:00 h323 0:05:00 h2251:00:00 mgcp 0:05:00 mgcp 軽打 0:05:00タイムアウト一口 0:30:00 sip_media 0:02:00 は0:03:00 一口接続解除 0:02:00 を一口誘いますタイムアウト一口仮メディア 0:02:00 ユーザ認証0:05:00 絶対的存在タイムアウト TCP プロキシ再組立て 0:00:30タイムアウト浮かべ conn 0:00:00タイムアウト conn ホールドダウン 0:00:15ユーザ識別デフォルトドメインローカルAAA プロキシ制限ディセーブル192.168.1.100 コミュニティ*****バージョン 2c の外部の snmp-server hostno snmp-server locationno snmp-server contactsnmp-server community *****sw リセットボタンを保守して下さい

コンソールタイムアウト 0ダイナミックアクセスポリシーレコードDfltAccessPolicy!!class-map inspection_default 一致デフォルトインスペクショントラフィック!!!!policy-map 型 Inspect dns preset_dns_map パラメータメッセージの長さ最大クライアント自動メッセージの長さ最大 512 TCP インスペクション無しpolicy-map 型 Inspect IP オプションUM_STATIC_IP_OPTIONS_MAP パラメータ eool 操作割り当て nop 操作割り当てルータアラート操作割り当てpolicy-map global_policy クラス inspection_default Inspect dns preset_dns_map Inspect ftp Inspect h323 h225 Inspect h323 RAS Inspect リモートシェルプロトコル Inspect rtsp Inspect ESMTP Inspect sqlnet スキニー Inspect Inspect sunrpc Inspect xdmcp Inspect 一口 Inspect NetBIOS Inspect tftp Inspect icmp Inspect icmp エラー Inspect dcerpc Inspect IP オプションUM_STATIC_IP_OPTIONS_MAP class class-default 接続詳細オプション UM_STATIC_TCP_MAP を設定して下さい!!グローバルなサービスポリシー global_policy敏速なホスト名コンテキストcall-home プロファイル CiscoTAC-1 アクティブ無し宛先アドレス httphttps://tools.cisco.com/its/service/oddce/services/DDCEService 宛先アドレスメール [email protected]

無限暗号 IPSecセキュリティアソシエーション結合pmtu エージング暗号カリフォルニア trustpool ポリシーtelnet timeout 5コンソールタイムアウト 0ダイナミックアクセスポリシーレコードDfltAccessPolicy!!class-map inspection_default 一致デフォルトインスペクショントラフィック!!!!policy-map 型 Inspect dns preset_dns_map パラメータメッセージの長さ最大クライアント自動メッセージの長さ最大 512 TCP インスペクション無しpolicy-map 型 Inspect IP オプションUM_STATIC_IP_OPTIONS_MAP パラメータ eool 操作割り当て nop 操作割り当てルータアラート操作割り当てpolicy-map global_policy クラス inspection_default Inspect dns preset_dns_map Inspect ftp Inspect h323 h225 Inspect h323 RAS Inspect リモートシェルプロトコル Inspect rtsp Inspect ESMTP Inspect sqlnet スキニー Inspect Inspect sunrpc Inspect xdmcp Inspect 一口 Inspect NetBIOS Inspect tftp Inspect icmp Inspect icmp エラー Inspect dcerpc Inspect IP オプションUM_STATIC_IP_OPTIONS_MAP class class-default 接続詳細オプション UM_STATIC_TCP_MAP を設定して下さい!!グローバルなサービスポリシー global_policy敏速なホスト名コンテキストcall-home プロファイル CiscoTAC-1 アクティブ無し



宛先転送する方式 http 定期講読にアラートグループ診断定期講読にアラートグループ環境定期講読にアラートグループコンポーネント定期的な月刊雑誌定期講読にアラートグループ設定定期的な月刊雑誌定期講読にアラートグループ定期的な毎日テレメトリーのCryptochecksum:768a03e90b9d3539773b9d7af66b3452

宛先アドレス httphttps://tools.cisco.com/its/service/oddce/services/DDCEService 宛先アドレスメール [email protected] 宛先転送する方式 http 定期講読にアラートグループ診断定期講読にアラートグループ環境定期講読にアラートグループコンポーネント定期的な月刊雑誌定期講読にアラートグループ設定定期的な月刊雑誌定期講読にアラートグループ定期的な毎日テレメトリーのCryptochecksum:ac9b8f401e18491fee653f4cfe0ce18f

FTD CLI からの HA を無効にするために注意するべき要点:

プライマリユニットセカンダリユニット

フェールオーバー設定およびスタンバイ IP は取除かれます

インターフェイスコンフィギュレーションは取除かれます

●

デバイスは疑似スタンバイモードに入ります

●

ステップ 6 タスクを終えた後、デバイスを FMC に登録し、HA ペアを有効にして下さい。

タスク 7.一時停止する HA

タスク要件:

FTD CLISH CLI からの HA を中断して下さい


ステップ 1：プライマリ FTD で、コマンドを実行し、YES の入力によって確認して下さい。

> configure high-availability suspend

Please ensure that no deployment operation is in progress before suspending high-availability.

Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you

wish to abort: YES

Successfully suspended high-availability.

ステップ 2.プライマリユニットの変更を確認して下さい:


Failover Off






Interface Policy 1






ステップ 3 セカンダリユニットの結果:


Failover Off (pseudo-Standby)

Failover unit Secondary





Interface Policy 1




ステップ 4.プライマリユニットのレジューム HA:

> configure high-availability resume

Successfully resumed high-availablity.

> .

No Active mate detected

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Beginning configuration replication: Sending to mate.

End Configuration Replication to mate

>


Failover On






Interface Policy 1




ステップ 5 HA を再開した後セカンダリユニットの結果:

> ..

Detected an Active mate

Beginning configuration replication from mate.

WARNING: Failover is enabled but standby IP address is not configured for this interface.

WARNING: Failover is enabled but standby IP address is not configured for this interface.

End configuration replication from mate.

>


Failover On

Failover unit Secondary





Interface Policy 1




>

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連情報

Cisco Firepower Management Center コンフィギュレーションガイドのすべてのバージョンはここに見つけることができます

●

https://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280

FXOS シャーシマネージャおよび CLI コンフィギュレーションガイドのすべてのバージョンはここに見つけることができます

●

https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950

Cisco グローバルなテクニカルアシスタンスセンタ（TAC）は強くこの技術情報で述べられる物を含む詳細で実用的なナレッジ Firepower 次世代のセキュリティテクノロジーのためのこの視覚ガイドを、on Cisco 推奨します。

●

http://www.ciscopress.com/title/9781587144806

すべての設定およびトラブルシューティングテクニカルノーツに関しては Firepower テクノロジーに関係する

●

https://www.cisco.com/c/en/us/support/security/defense-center/tsd-products-support-series-home.html

テクニカルサポートとドキュメント - Cisco Systems●

/content/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280

/content/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280

/content/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950

/content/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950

http://www.ciscopress.com/title/9781587144806

https://www.cisco.com/c/ja_jp/support/security/defense-center/tsd-products-support-series-home.html

https://www.cisco.com/c/ja_jp/support/security/defense-center/tsd-products-support-series-home.html

https://www.cisco.com/c/ja_jp/support/index.html

Firepower アプライアンスの設定 FTD 高可用性 - Cisco · Firepower...

Documents

Transcript of Firepower アプライアンスの設定 FTD 高可用性 - Cisco · Firepower...