CISCO MFC中部署Firepower FTD高可用(HA)---By 年糕泰迪

最新推荐文章于 2024-03-28 09:59:51 发布
转载 最新推荐文章于 2024-03-28 09:59:51 发布 · 1.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
原文链接:https://blog.51cto.com/pinglife/2510482
文章标签:

#java #python #数据库 #物联网 #linux

本文详细记录了在Cisco FTD设备上部署高可用(HA)过程中遇到的问题与解决方法,包括设备注册、HA构建失败、策略部署问题及最终解决方案。

注:设备版本6.2.3 ,MFC 和 FTD都为KVM。

在FTD部署HA之前,首先需要将2台设备注册到MFC中,注册前需要确保2台FTD的所有硬件及软件资源一致,包括接口数量,另外不能部署***,最好是2台完全一样的空配置设备,开机后只需要根据向导配置管理IP信息和注册到MFC即可,不要配置其他任何策略,在此前提下开始部署HA。
部署拓扑
CISCO MFC中部署Firepower FTD高可用(HA)---By 年糕泰迪
以下截图是在部署HA时其中一台设备已经配置过一些接口信息已经NAT策略,所以在部署的时候会提示mismatch,即使删除了FTD中的所有配置也没有用,因为,因为MFC部署到FTD中的NAT是没有办法删除的,即使在FTD中也不行,这是官方说的,需要部署其他NAT策略来覆盖。你说扯不扯淡?!WFT!说句实话cisco的这一套firepower真的很垃圾很垃圾(基于当前这个版本而已),照抄Check Point的架构模式,还炒得一塌糊涂,操作性,可识别性,复杂度,响应速度,,,没有一个地方值得点评的,而且还有很多反人类的设计,bug也是一大推,但人家脸大没办法。
CISCO MFC中部署Firepower FTD高可用(HA)---By 年糕泰迪
接下来在设备都注册到MFC后开始部署HA,所有操作都在MFC中进行,如下截图,开始添加设备,
CISCO MFC中部署Firepower FTD高可用(HA)---By 年糕泰迪
开始添加设备,给HA命名随意方便管理即可,下面的device type 有2个选项,我们选择Firepower Threat Defense ,另一个时Firepower,这个是针对Cisco 7000/8000系列的firepower硬件设备的。再接下来选择需要组成HA的主备设备,从我们已经注册到MFC中的设备选择即可,选择完毕后continue。
CISCO MFC中部署Firepower FTD高可用(HA)---By 年糕泰迪
接下来就是配置HA的对等体参数了,看到这个配置参数是不是很熟悉,没错他和ASA的failover配置完全一样。
IPSec encryption 其实就是对等体两边用来建立联系和通信的识别密钥,ASA9.0以后的版本也有这个,就是HA通信时基于 IPsec加密的,只是一种加密通信方式,和8.x版本的key时一个东西,区别在于后者不加密。等一系列配置完毕后,最好点击 Add 后就开始坐等HA的构建了。
PS:failover的IP最好是使用保留的local link 地址段 168.254.0.0/16
CISCO MFC中部署Firepower FTD高可用(HA)---By 年糕泰迪
看到一下弹窗消息那么恭喜,HA构建完毕。
CISCO MFC中部署Firepower FTD高可用(HA)---By 年糕泰迪
然后MFC会自动将HA配置策略部署到设备中去,接下来又是分钟级别的等待。
CISCO MFC中部署Firepower FTD高可用(HA)---By 年糕泰迪
很不幸,Cisco又玩了我们一把,HA策略部署失败。我们来看看失败在哪儿了,打开报错详细日志,发现FMC下发的策略和ASA的failover级别如出一辙,这个玩意真是东拼西凑。
CISCO MFC中部署Firepower FTD高可用(HA)---By 年糕泰迪
下面是具体的troubleshooting detail log ,顺着log往下看最下面是error 信息,说没有配置failover IP,无法建立tunnel,这不是睁眼说瞎话么。。你说这个错误出的是不是很反人类?!
Refer to the following troubleshooting information when contacting Cisco TAC.
Lina messages
FMC >> failover lan unit primary
FMC >> strong-encryption-disable
FMC >> no dns domain-lookup diagnostic
FMC >> timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
FMC >> no user-identity default-domain LOCAL
FTD192.168.70.211 >> info : INFO: Default-domain change will not impact existing configurations.
FMC >> interface GigabitEthernet0/5
FMC >> description LAN Failover Interface
FMC >> no shutdown
FMC >> exit
FMC >> interface GigabitEthernet0/6
FMC >> description STATE Failover Interface
FMC >> no shutdown
FMC >> exit
FMC >> dns domain-lookup diagnostic
FMC >> failover lan interface folink GigabitEthernet0/5
FTD192.168.70.211 >> info : INFO: Non-failover interface config is cleared on GigabitEthernet0/5 and its sub-interfaces
FMC >> failover interface ip folink 169.254.1.1 255.255.255.252 standby 169.254.1.2
FTD192.168.70.211 >> info : ERROR: Failed to apply IP address to interface GigabitEthernet0/5, as the network overlaps with interface Internal-Data0/1. Two interfaces cannot be in the same subnet.
FMC >> failover link stlink GigabitEthernet0/6
FTD192.168.70.211 >> info : INFO: Non-failover interface config is cleared on GigabitEthernet0/6 and its sub-interfaces
FMC >> failover interface ip stlink 169.254.3.1 255.255.255.252 standby 169.254.3.2
FMC >> failover replication http
FMC >> monitor-interface diagnostic
FMC >> failover ipsec pre-shared-key **
FTD192.168.70.211 >> error : ERROR: Could not establish tunnel without configuring Failover ip address
Other logs

Lina configuration application failure log: Rollback APP was successful.

官方找了大半天也没有说明,官方文档从来都是一次部署到位,从来不会有问题,望文生义,既然tunnel不能建立,那在建立HA过程中和tunnel相关的也就只有哪个IPSec encryption 参数了,所以删除已经配置的HA策略,重新建立,并且不启用IPSec encryption 参数,这次就顺利创建成功了,而且策略推送也成功。
最后就是正常部署阶段,后面再记录其他部署内容。
注意:HA模式下不支持组播,而且像TLS和SSL在HA切换之后,session会终端需要重新建立连接。

qq_38464112
关注
防火墙:配置高可用HA
weixin_42494218的博客
11-15 1321
两台思科 FPR1120-ASA-K9 设备可以通过配置 Active/Standby Failover 来实现高可用
单出口双防火墙双核心冗余_CISCO ASA防护墙详细AS/双出口配置切换---By 年糕泰迪...
weixin_36394468的博客
01-17 1643
一.实验概述实验目的:1/开机零配置中性企业网络骨干架构。2/部署出口防火墙HA(Active/Standby)并验证测试。3/部署双出口自动冗余切换并验证测试。实验材料:EVE-NG ,ASAv(v9.8) ,路由器,L3交换机。实验前提此次实验防火墙为routed模式,并且为single模式实验拓扑:拓扑说明:1/名称说明:Net云为通EVE-NG模拟器主机桥接的NAT网卡,负责该网络拓扑向外...
CISCO FirepowerFTD NAT简单配置
09-21
原创,CISCO FTD NAT配置案例,大家共同学习进步。转载请注明楚楚。
ASA5550的A/S热备配置及其他
weixin_34326558的博客
03-09 561
版本为ASA8.2 ASA5550-1: enable config terminal interface GigabitEthernet1/0 nameif inside #命令接口# security-level 100 #设置接口安全级别,低不能访问高# ip address 192.168.1.1 255.255.255.0 standby 1...
(二)FirePower-FTD初始化设置并加入到FMC管理
发量堪忧
11-22 4317
一、什么是FTD FMC是vFTD的管理中心,思科的FMC可以同时管理多个vFTD,配置基本都是在FMC完成,然后推送到vFTD。 FMC(Cisco_Firepower_Management_Center,防火墙管理中心) vFTDCisco_Firepower_Threat_Defense_Virtual ,思科虚拟的防火墙威胁防御) 思科 Firepower 威胁防御 (FTD) 是一种集成软件映像,将 CISCO ASA 和 FirePOWER 功能结合到一个包含硬件和软件的系统中。思科是
精选资源
ftd-fi-device-pkg-1.0.5.2.zip
07-18
标题 "ftd-fi-device-pkg-1.0.5.2.zip" 提供的信息表明,这是一个与Cisco Firepower相关的设备软件包,版本号为1.0.5.2。FirepowerCisco公司提供的一个全面的威胁防御解决方案,它集成了先进的防火墙功能和深度...
精选资源
ftd-fi-device-pkg-1.0.4.17.zip
07-18
标题“ftd-fi-device-pkg-1.0.4.17.zip”表明这是一个与Cisco Firepower相关的设备软件包,版本号为1.0.4.17。FirepowerCisco公司提供的一种集成安全解决方案,它包括防火墙、入侵防御系统(IPS)、威胁管理以及...
Cisco firepower2100系列使用FDM管理FTD
funnycoffee123的博客
02-08 1202
Cisco firepower2100系列使用FDM管理FTD
Cisco firepower 2100 series https access-list
funnycoffee123的博客
11-05 351
https://www.cisco.com/c/en/us/td/docs/security/firepower/command_ref/b_Command_Reference_for_Firepower_Threat_Defense/c_3.html#wp3607347800 configure https-access-list To configure the device to accept HTTPS connections from specified IP addresses, use the
Cisco_Firepower_User_Agent_for_Active_Directory_2.5-147.zip
07-18
Cisco Firepower 用户代理在Active Directory中的应用与管理详解》 Cisco FirepowerCisco公司推出的一套先进的安全解决方案,它集成了防火墙、入侵防御、威胁检测和安全管理等多种功能,旨在为企业提供全方位...
搭建思科防火墙及Firepower基础配置.doc
04-29
思科的Firepower防火墙和我们国内常见的山石网科,启明星辰,深信服,华为,H3C,神州数码等等厂家的防火墙是有区别的,国内常见的防火墙厂商生产的防火墙基本是一体机,管理层面、控制层面和数据层面在一台设备上,然后思科的Firepower防火墙把控制层面和数据层面做了分离。FMC是vFTD的管理中心,思科的FMC可以同时管理多个vFTD,配置基本都是在FMC完成,然后推送到vFTD
Cisco命令行手册(中文解释版)
03-21
Cisco设备使用的命令行风格基本上是行业设备的标准了,网管与运维没有不熟悉的。 这本书是Cisco设备命令行完全讲解。使用中文解释整个CLI命令行架构的各个组成部分,并配合丰富的应用实例。 新手可以用来熟悉思科设备的配置方法与各种命令行的意义,熟手也可以用来当作操作手册,在需要的时候翻一翻。
cisco_ASA防火墙恢复初始化
02-07
ASA 防火墙flash 被删 防火墙不断启动 Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately. 按下ESC进入监控模式 监控模式下的显示和交换机路由器没有什么区别。命令格式也大同小异只要大家变通一下就不难恢复。 rommon #1> ? Variables: Use "sync" to store in NVRAM ADDRESS= local IP address CONFIG= config file path/name GATEWAY= gateway IP address IMAGE= image file path/name LINKTIMEOUT= Link UP timeout (seconds) PKTTIMEOUT= packet timeout (seconds) PORT= ethernet interface port RETRY= Packet Retry Count (Ping/TFTP) SERVER= server IP address VLAN= enable/disable DOT1Q tagging on the selected port rommon #2> ADDRESS=192.168.0.2 (因为是TFFP上传,所以防火墙设置为客户机) rommon #3> GATEWAY=192.168.0.1 (网关) rommon #4> IMAGE=asa802-k8.bin (导入IOS的名称) rommon #5> SERVER=192.168.0.1 (服务器IP,也就是你的PC) rommon #6> sync (保存) Updating NVRAM Parameters... rommon #7> ping 192.168.0.1 Sending 20, 100-byte ICMP Echoes to 192.168.0.1, timeout is 4 seconds: ?!!!!!!!!!!!!!!!!!!! Success rate is 95 percent (19/20) 确认线路是否连通,开启TFTP软件 (这里说明下我测试是ASA5505 所以接的E0/0口。不知道设备该接什么口可以用set看“PORT=Ethernet0/0”) rommon #8> tftpdnld (上传) ROMMON Variable Settings: ADDRESS=192.168.0.2 SERVER=192.168.0.1 GATEWAY=192.168.0.1 PORT=Ethernet0/0 VLAN=untagged IMAGE=asa802-k8.bin CONFIG= LINKTIMEOUT=20 PKTTIMEOUT=4 RETRY=20 tftp asa802-k8.bin@192.168.0.1 via 192.168.0.1 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 导入后设备重启,现在有了IOS 能进去 Type help or '?' for a list of available commands. ciscoasa> en 但现在IOS也没有装入设备,而是从tftp引导启动设备,断开TFTP服务器就会从新进入监控模式。这一点当设备启动完毕后可以用show version命令看到: System image file is "tftp://192.168.0.1/asa802-k8.bin" 现在需要把IOS存入设备,但是现在防火墙和PC已经不能通信 ciscoasa# ping 192.168.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds: No route to host 192.168.0.1 Success rate is 0 percent (0/1) 因为刚才是在监控模式下,现在需要配置让PC和防火墙从新通信(具体型号具体设置,下面已我手上的5505为例) interface Vlan1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 192.168.0.2 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 现在测试 ciscoasa# ping 192.168.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms 已经能通信,下面拷贝IOS和ASDM存入设备 ciscoasa# copy tftp://192.168.0.1/asa802-k8.bin disk0:/asa802-k8.bin Address or name of remote host [192.168.0.1]? Source filename [asa802-k8.bin]? Destination filename [asa802-k8.bin]? Accessing tftp://192.168.0.1/asa802-k8.bin. ... !!!!!!!!!!!!!!!!!!! 因为删除的是flash 现在还需要导入ASDM (注意ASDM和IOS的兼容,不兼容如下图) ciscoasa# copy tftp://192.168.0.1/asdm-602.bin disk0://asdm-602.bin Address or name of remote host [192.168.0.1]? Source filename [asdm-602.bin]? Destination filename [asdm-602.bin]? Accessing tftp://192.168.0.1/asdm-602.bin.. ... !!!!!!!!!!!!!!!!!!! 现在可以看见IOS以后在设备上 ciscoasa# show version Cisco Adaptive Security Appliance Software Version 8.2(1) Compiled on Tue 05-May-09 22:45 by builders System image file is "disk0:/asa821-k8.bin" Config file at boot was "startup-config" ciscoasa# show flash: --#-- --length-- -----date/time------ path 3 4096 Aug 26 2009 17:41:50 log 10 4096 Aug 26 2009 17:41:56 crypto_archive 11 4096 Aug 26 2009 17:59:06 coredumpinfo 12 43 Aug 27 2009 09:13:02 coredumpinfo/coredump.cfg 78 16275456 Aug 26 2009 18:07:50 asa802-k8.bin 80 7598456 Aug 27 2009 09:05:54 asdm-602.bin 设置启动文件 ciscoasa (config)# boot system disk0:/asa802-k8.bin 设置IOS ciscoasa (config)# asdm image disk0:/asdm602.bin 设置ASDM ciscoasa (config)# reload 重新启动,配置生效 备份上面dir的文件 ciscoasa (config)# copy disk0:/asa802-k8.bin tftp://192.168.1.1/asa802-k8.bin ciscoasa (config)# copy disk0:/asdm602.bin tftp://192.168.1.1/asdm602.bin
Firepower2100运行ASA软件License管理说明.docx
07-14
能都掌握Firepower2100运行ASA软件License管理说明 Firepower2100运行ASA软件的License管理说明 Firepower2100平台设备采用了Smart License的许可管理方式,与传统的PAK方式的License不同。申请Smart License的方法,请见本文的附录说明。 如果Firepower2100设备运行了FTD软件,Smart License的激活需要通过FMC来完成。 如果Firepower2100设备运行了ASA软件,Smart License的激活需要通过ASA的CLI或ASDM来完成。 下面描述了Firepower2100设备运行ASA软件时,激活3DES许可的步骤。
(一)FirePower-FMC初始化配置
发量堪忧
11-21 3379
一、什么是FMC 2013年,思科用27亿美元收购当时最牛逼的IPS(入侵防御系统)厂商Sourefire,Sourefire不仅拥有当时最牛逼的免费开源IPS,叫Snort,更拥有最牛逼的企业版IPS叫Sourefire。此举让思科成为业界最领先的威胁防御公司。 起初,思科把Sourefire改名为Firepower直接贴思科的牌买,后来思科为了整合ASA防火墙和Firepower产品系,就想办法把他们合二为一叫做FTD(威胁防御),但是系统依然是两个,也就是说FTD的底层是ASA系统,上层应用防
防火墙Failover小实验
weixin_44901204的博客
07-09 678
功能 实现边界安全、区域防护 区域设计 Trust(内部) Untrust(外部,Internet) DMZ(非军事化区域) 用于隔壁服务器 从inside到outside允许,即从高安全级别到低安全级别允许 从outside到inside禁止,低到高禁止 相同级别禁止 Failover Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,当主设备宕机时,备...
思科firepower数据流处理流程
ypatao的博客
04-20 1431
1、数据流从端口进入设备,先检查数据包中L2&NAT信息;接着检查数据流状态表;然后是L3层的信息和端口信息;然后检查HW rules;2、如果数据包是加密流量,那么接下来需要进行数据包解码,将数据流全部变为明文形式,然后进行后续的检测。这个部分可以体现下一代防火墙对于数据流量可视性的增强;接着检查数据安全性与IP合法性和流检查;接着是对数据包进行ACL匹配检查,这里的ACL可以检查的内容...
Cisco Firepower FMCv修改管理Ip方法
funnycoffee123的博客
03-28 963
Cisco Firepower FMCv修改管理Ip方法
Cisco FirePower FMCv与FMC 300v部署 (待完善)
最新发布
funnycoffee123的博客
03-28 506
Cisco FirePower FMCv与FMC 300v部署 (待完善)
Cisco 350-701 SCOR exam guide: Implementing and Operating Security Core Technologies
"350-701.pdf是Cisco公司提供的关于‘Implementing and Operating Cisco Security Core Technologies (SCOR)’认证考试的复习资料。这个考试的代码是350-701,主要涵盖了安全核心技术的实施与操作。资料版本为22.042...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值