Configurar FTD que aglomera-se em FP9300 (os intra-chassis) · intra-chassis) Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Informações de Apoio ... Defesa

Configurar FTD que aglomera-se em FP9300 (osintra-chassis) Índice

IntroduçãoPré-requisitosRequisitosComponentes UtilizadosInformações de ApoioConfigurarDiagrama de RedeA tarefa 1. cria relações necessárias para o conjunto FTDA tarefa 2. cria o conjunto FTD Conjunto do registro FTD da tarefa 3. a FMCA tarefa 4. configura subinterfaces do canal de porta em FMCA tarefa 5. verifica a conectividade básicaDispositivo secundário da supressão da tarefa 6. do conjuntoA tarefa 7. adiciona o dispositivo para aglomerar-seVerificarTroubleshootingInformações Relacionadas

Introdução

Este original descreve como configurar e verificar a característica do conjunto no dispositivoFPR9300.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Corredor da ferramenta de segurança de Cisco FirePOWER 9300 1.1(4.95)●

Defesa da ameaça de FirePOWER (FTD) que executa 6.0.1 (construção 1213)●

Centro de gerenciamento de FireSIGHT (FMC) 6.0.1.1 sendo executado (construção 1023)●

Tempo da conclusão do laboratório: 1 hora.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de

laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com umaconfiguração (padrão) inicial. Se sua rede está viva, assegure-se de que você compreenda oimpacto potencial do comando any.

Informações de Apoio

No FPR9300 com dispositivo FTD, você pode configurar os intra-chassis que aglomeram-seem todas as versões suportadas.

●

a aglomeração Inter-chassing foi introduzida em 6.2.●

O canal de porta 48 é criado como um link do conjunto-controle. Para os intra-chassis queaglomeram-se, este link utiliza o backplane de FirePOWER 9300 para comunicações doconjunto.

●

As relações dos dados individuais não são apoiadas, à excecpção de uma interface degerenciamento.

●

As interfaces de gerenciamento são atribuídas a todas as unidades no conjunto.●

Configurar

Diagrama de Rede

A tarefa 1. cria relações necessárias para o conjunto FTD

Exigência da tarefa:

Crie um conjunto, uma interface de gerenciamento e uma interface de dados do canal de porta.

Solução:

Etapa 1. Crie a interface de dados do canal de porta.

A fim criar uma relação nova, você tem que registrar no gerente do chassi FPR9300 e navegar àaba das relações.

Seleto adicionar o Canal de porta e crie uma relação de Canal de porta nova com estes

parâmetros:

Canal de porta ID 5Tipo DadosEnable YesMembro ID Ethernet1/3, Ethernet 1/4

Selecione ESTÁ BEM para salvar a configuração segundo as indicações da imagem.

Etapa 2. Crie a interface de gerenciamento.

Nas relações catalogue, escolha a relação, clique sobre Edit e configurar o tipo relação doGerenciamento.

Clique a APROVAÇÃO para salvar a configuração segundo as indicações da imagem.

Etapa 3. Crie a interface de link do Conjunto-controle.

Clique sobre o botão do Canal de porta Add e crie uma relação de Canal de porta nova com estesparâmetros e segundo as indicações da imagem.

Canal de porta ID 48Tipo ConjuntoEnable YesMembro ID -

A tarefa 2. cria o conjunto FTD


Crie uma unidade de conjunto FTD.

Solução:

Etapa 1. Navegue aos dispositivos lógicos e clique sobre o botão do dispositivo Add.

Crie o FTD que aglomera-se como segue:

Nome de dispositivo FTD_cluster

Molde Defesa da ameaça de CiscoFirePOWER

Versão da imagem 6.0.1.1213Modo de dispositivo Conjunto

A fim adicionar o dispositivo, APROVAÇÃO do clique segundo as indicações da imagem.

Etapa 2. Configurar e distribua o conjunto FTD.

Depois que você cria um dispositivo FTD, você está reorientado ao indicador do nome dodispositivo do fornecimento.

Clique sobre o ícone do dispositivo para começar a configuração segundo as indicações daimagem.

Configurar a aba da informação de cluster FTD com estes ajustes e segundo as indicações daimagem.

Aglomere a chave ciscoNome do grupo do conjunto FTD_clusterInterface de gerenciamento Ethernet1/1

Configurar a aba dos ajustes FTD com estes ajustes e segundo as indicações da imagem.

Chave do registro ciscoSenha Admin123IP do centro degerenciamento deFirePOWER

10.62.148.73

Domínios da busca cisco.comModo de firewall RoteadoServidores DNS 173.38.200.100Hostname totalmentequalificado ksec-fpr9k-1-1-3.cisco.com

Relação de Eventing Nenhum

Configurar a aba da informação da relação FTD com estes ajustes e segundo as indicações daimagem.

Tipo de endereço IPv4 somenteMódulo 1 da SegurançaIP de gerenciamento 10.62.148.67Máscara de rede 255.255.255.128Gateway 10.62.148.1Módulo 2 da SegurançaIP de gerenciamento 10.62.148.68Máscara de rede 255.255.255.128Gateway 10.62.148.1Módulo 3 da SegurançaIP de gerenciamento 10.62.148.69Máscara de rede 255.255.255.128Gateway 10.62.148.1

Aceite o acordo na aba do acordo e clique a APROVAÇÃO segundo as indicações da imagem.

Etapa 3. Atribua interfaces de dados a FTD.

Expanda a área de portas dos dados e clique sobre cada relação que você quer atribuir a FTD.Após a conclusão, selecione a salvaguarda para criar um conjunto FTD segundo as indicações daimagem.

Espere por alguns minutos pelo conjunto a ser distribuído, depois do qual a eleição mestra daunidade ocorre.

Verificação:

Do FPR9300 GUI segundo as indicações da imagem.●

Do FPR9300 CLI●

FPR9K-1-A#

FPR9K-1-A# scope ssa

FPR9K-1-A /ssa # show app-instance

Application Name Slot ID Admin State Operational State Running Version Startup

Version Cluster Oper State

-------------------- ---------- --------------- -------------------- --------------- -----------

---- ------------------

ftd 1 Enabled Online 6.0.1.1213 6.0.1.1213

In Cluster


In Cluster


In Cluster

Da LINA (ASA) CLI●

firepower# show cluster info

Cluster FTD_cluster: On

Interface mode: spanned

This is "unit-1-1" in state MASTER

ID : 0

Version : 9.6(1)

Serial No.: FLM19216KK6

CCL IP : 127.2.1.1

CCL MAC : 0015.c500.016f

Last join : 21:51:03 CEST Aug 8 2016

Last leave: N/A

Other members in the cluster:

Unit "unit-1-3" in state SLAVE

ID : 1

Version : 9.6(1)

Serial No.: FLM19206H7T

CCL IP : 127.2.1.3

CCL MAC : 0015.c500.018f


Last leave: N/A


ID : 2

Version : 9.6(1)

Serial No.: FLM19206H71

CCL IP : 127.2.1.2

CCL MAC : 0015.c500.019f


Last leave: N/A

firepower# cluster exec show cluster interface-mode

cluster interface-mode spanned

unit-1-3:*************************************************************


unit-1-2:*************************************************************


firepower#

firepower# cluster exec show cluster history

==========================================================================

From State To State Reason

==========================================================================

21:49:25 CEST Aug 8 2016

DISABLED DISABLED Disabled at startup

21:50:18 CEST Aug 8 2016

DISABLED ELECTION Enabled from CLI

21:51:03 CEST Aug 8 2016

ELECTION MASTER_POST_CONFIG Enabled from CLI

21:51:03 CEST Aug 8 2016

MASTER_POST_CONFIG MASTER Master post config done and waiting for ntfy

==========================================================================

unit-1-3:*************************************************************

==========================================================================


==========================================================================

21:49:44 CEST Aug 8 2016


21:50:37 CEST Aug 8 2016


21:50:37 CEST Aug 8 2016

ELECTION ONCALL Received cluster control message

21:50:41 CEST Aug 8 2016

ONCALL ELECTION Received cluster control message

21:50:41 CEST Aug 8 2016


21:50:46 CEST Aug 8 2016


21:50:46 CEST Aug 8 2016


21:50:51 CEST Aug 8 2016


21:50:51 CEST Aug 8 2016


21:50:56 CEST Aug 8 2016


21:50:56 CEST Aug 8 2016


21:51:01 CEST Aug 8 2016


21:51:01 CEST Aug 8 2016


21:51:04 CEST Aug 8 2016

ONCALL SLAVE_COLD Received cluster control message

21:51:04 CEST Aug 8 2016

SLAVE_COLD SLAVE_APP_SYNC Client progression done

21:51:05 CEST Aug 8 2016

SLAVE_APP_SYNC SLAVE_CONFIG Slave application configuration sync done

21:51:17 CEST Aug 8 2016

SLAVE_CONFIG SLAVE_BULK_SYNC Configuration replication finished

21:51:29 CEST Aug 8 2016

SLAVE_BULK_SYNC SLAVE Configuration replication finished

==========================================================================

unit-1-2:*************************************************************

==========================================================================


==========================================================================

21:49:24 CEST Aug 8 2016


21:50:16 CEST Aug 8 2016


21:50:17 CEST Aug 8 2016


21:50:21 CEST Aug 8 2016


21:50:21 CEST Aug 8 2016


21:50:26 CEST Aug 8 2016


21:50:26 CEST Aug 8 2016


21:50:31 CEST Aug 8 2016


21:50:31 CEST Aug 8 2016


21:50:36 CEST Aug 8 2016


21:50:36 CEST Aug 8 2016


21:50:41 CEST Aug 8 2016


21:50:41 CEST Aug 8 2016


21:50:46 CEST Aug 8 2016


21:50:46 CEST Aug 8 2016


21:50:51 CEST Aug 8 2016


21:50:51 CEST Aug 8 2016


21:50:56 CEST Aug 8 2016


21:50:56 CEST Aug 8 2016


21:51:01 CEST Aug 8 2016


21:51:01 CEST Aug 8 2016


21:51:06 CEST Aug 8 2016


21:51:06 CEST Aug 8 2016


21:51:12 CEST Aug 8 2016


21:51:12 CEST Aug 8 2016


21:51:17 CEST Aug 8 2016


21:51:17 CEST Aug 8 2016


21:51:22 CEST Aug 8 2016


21:51:22 CEST Aug 8 2016


21:51:27 CEST Aug 8 2016


21:51:27 CEST Aug 8 2016


21:51:30 CEST Aug 8 2016

ONCALL SLAVE_COLD Received cluster control message

21:51:30 CEST Aug 8 2016

SLAVE_COLD SLAVE_APP_SYNC Client progression done

21:51:31 CEST Aug 8 2016

SLAVE_APP_SYNC SLAVE_CONFIG Slave application configuration sync done

21:51:43 CEST Aug 8 2016

SLAVE_CONFIG SLAVE_BULK_SYNC Configuration replication finished

21:51:55 CEST Aug 8 2016

SLAVE_BULK_SYNC SLAVE Configuration replication finished

==========================================================================

firepower#

Conjunto do registro FTD da tarefa 3. a FMC


Adicionar os dispositivos lógicos ao FMC e agrupe-o então em um conjunto.

Solução:

Etapa 1. Adicionar dispositivos lógicos ao FMC.

O log no FMC e navega à aba dos dispositivos > do Gerenciamento de dispositivos e oclique adiciona o dispositivo.

Adicionar o primeiro dispositivo lógico com os ajustes como mencionado na imagem.

Clique sobre o registro para começar o registro.

Depois que a primeira unidade foi registrada, repita as mesmas etapas para as duas unidadesseguintes segundo as indicações da imagem.

A verificação é segundo as indicações da imagem.

Etapa 2. Agrupe as unidades a um conjunto.

Navegue aos dispositivos > ao Gerenciamento de dispositivos e selecione o botão do conjunto do> Add adicionar.

Escolha a unidade primária e encha o campo de nome. Selecione o botão Add segundo asindicações da imagem.


A tarefa 4. configura subinterfaces do canal de porta em FMC


Configurar subinterfaces para a interface de dados do canal de porta.

Solução:

Etapa 1. Do FMC GUI, selecione o botão Edit de FTD_cluster.

Navegue à aba das relações e clique sobre adicionar conecta > relação do sub segundo asindicações da imagem.

Configurar a primeira secundário-relação com estes detalhes. Selecione ESTÁ BEM para aplicaras mudanças e segundo as indicações das imagens.

Nome InternaTab geralInterface Port-channel5Secundário-relação ID 201ID da VLAN 201Aba do IPv4Tipo IP Use o IP EstáticoIP Address 192.168.75.10/24

Configurar a segunda secundário-relação com estes detalhes.

Nome ExternaTab geralInterface Port-channel5Secundário-relação ID 210ID da VLAN 210Aba do IPv4Tipo IP Use o IP EstáticoIP Address 192.168.76.10/24

APROVAÇÃO do clique para criar a secundário-relação. Clique a salvaguarda e distribua entãomudanças ao FTD_cluster segundo as indicações da imagem.

Verificação:

A tarefa 5. verifica a conectividade básica


Crie captações e verifique a Conectividade entre dois VM.

Solução:

Etapa 1. Crie captações em todas as unidades de conjunto.

Navegue a LINA (ASA) CLI da unidade mestra e crie captações para as interfaces internas eexternas.

firepower#

firepower# cluster exec capture capi interface inside match icmp any any

unit-1-1(LOCAL):******************************************************

unit-1-3:*************************************************************

unit-1-2:*************************************************************

firepower#

firepower# cluster exec capture capo interface outside match icmp any any

unit-1-1(LOCAL):******************************************************

unit-1-3:*************************************************************

unit-1-2:*************************************************************

firepower#

Verificação:

firepower# cluster exec show capture

unit-1-1(LOCAL):******************************************************

capture capi type raw-data interface Inside [Capturing - 0 bytes]

match icmp any any

capture capo type raw-data interface Outside [Capturing - 0 bytes]

match icmp any any

unit-1-3:*************************************************************


match icmp any any


match icmp any any

unit-1-2:*************************************************************


match icmp any any


match icmp any any

firepower#

Etapa 2. Faça o teste de ping do VM1 ao VM2.

Faça o teste com 4 pacotes. Verifique a captação output após o teste:

firepower# cluster exec show capture

unit-1-1(LOCAL):******************************************************


match icmp any any


match icmp any any

unit-1-3:*************************************************************


match icmp any any


match icmp any any

unit-1-2:*************************************************************


match icmp any any


match icmp any any

firepower#

Execute o comando a fim verificar a captação output na unidade específica:

firepower# cluster exec unit unit-1-3 show capture capi

8 packets captured

1: 12:58:36.162253 802.1Q vlan#201 P0 192.168.75.100 > 192.168.76.100: icmp: echo

request

2: 12:58:36.162955 802.1Q vlan#201 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply

3: 12:58:37.173834 802.1Q vlan#201 P0 192.168.75.100 > 192.168.76.100: icmp: echo

request


5: 12:58:38.187642 802.1Q vlan#201 P0 192.168.75.100 > 192.168.76.100: icmp: echo

request


7: 12:58:39.201832 802.1Q vlan#201 P0 192.168.75.100 > 192.168.76.100: icmp: echo

request


8 packets shown

firepower# cluster exec unit unit-1-3 show capture capo

8 packets captured

1: 12:58:36.162543 802.1Q vlan#210 P0 192.168.75.100 > 192.168.76.100: icmp: echo

request


3: 12:58:37.174002 802.1Q vlan#210 P0 192.168.75.100 > 192.168.76.100: icmp: echo

request


5: 12:58:38.187764 802.1Q vlan#210 P0 192.168.75.100 > 192.168.76.100: icmp: echo

request


7: 12:58:39.201954 802.1Q vlan#210 P0 192.168.75.100 > 192.168.76.100: icmp: echo

request


8 packets shown

firepower#

Depois que você termina esta tarefa, suprima das captações com o comando seguinte:

firepower# cluster exec no capture capi

unit-1-1(LOCAL):******************************************************

unit-1-3:*************************************************************

unit-1-2:*************************************************************

firepower# cluster exec no capture capo

unit-1-1(LOCAL):******************************************************

unit-1-3:*************************************************************

unit-1-2:*************************************************************

Etapa 3. Transfira um arquivo do VM2 ao VM1.

O VM1 PRE-foi configurado como um servidor FTP, VM2 como um cliente de FTP.

Crie captações novas com o estes:

firepower# cluster exec capture capi interface inside match ip host 192.168.75.100 host

192.168.76.100

unit-1-1(LOCAL):******************************************************

unit-1-3:*************************************************************

unit-1-2:*************************************************************

firepower# cluster exec capture capo interface outside match ip host 192.168.775.100 host

192.168.76.100

unit-1-1(LOCAL):******************************************************

unit-1-3:*************************************************************

unit-1-2:*************************************************************

Transfira o arquivo do VM2 ao VM1, com o uso do cliente de FTP.

Verifique o show conn output:

firepower# cluster exec show conn all

unit-1-1(LOCAL):******************************************************

20 in use, 21 most used

Cluster:

fwd connections: 0 in use, 2 most used

dir connections: 0 in use, 52 most used

centralized connections: 0 in use, 6 most used

TCP Outside 192.168.76.100:49175 Inside 192.168.75.100:21, idle 0:00:32, bytes 665, flags

UIOeN

UDP cluster 255.255.255.255:49495 NP Identity Ifc 127.2.1.1:49495, idle 0:00:00, bytes

17858058, flags -

TCP cluster 127.2.1.3:10844 NP Identity Ifc 127.2.1.1:38296, idle 0:00:33, bytes 5496, flags

UI

…….

TCP cluster 127.2.1.3:59588 NP Identity Ifc 127.2.1.1:10850, idle 0:00:33, bytes 132, flags UO

unit-1-3:*************************************************************


Cluster:




TCP Outside 192.168.76.100:49175 Inside 192.168.75.100:21, idle 0:00:34, bytes 0, flags y

TCP cluster 127.2.1.1:10851 NP Identity Ifc 127.2.1.3:48493, idle 0:00:52, bytes 224, flags UI

……..


unit-1-2:*************************************************************


Cluster:




TCP cluster 127.2.1.1:10851 NP Identity Ifc 127.2.1.2:64136, idle 0:00:53, bytes 224, flags UI

……..


Mostre a captação output:

firepower# cluster exec show cap

unit-1-1(LOCAL):******************************************************

capture capi type raw-data interface Inside [Buffer Full - 523954 bytes]

match ip host 192.168.75.100 host 192.168.76.100

capture capo type raw-data interface Outside [Buffer Full - 524028 bytes]


unit-1-3:*************************************************************

capture capi type raw-data interface Inside [Buffer Full - 524062 bytes]


capture capo type raw-data interface Outside [Buffer Full - 524228 bytes]


unit-1-2:*************************************************************





Dispositivo secundário da supressão da tarefa 6. do conjunto


O log no FMC e suprime da unidade secundária do conjunto.

Solução:

Etapa 1. O log no FMC e navega ao dispositivo > ao Gerenciamento de dispositivos.

Note: Não suprima do membro se é ainda uma saudável parte do conjunto de acordo com ogerente do chassi de FirePOWER; mesmo que você a remova do centro degerenciamento, é ainda um operacional parte do conjunto, que pode causar problemas, setorna-se a unidade primária e o gerente do chassi de FirePOWER podem já não controlá-lo.

Clique o ícone do lixo ao lado da unidade secundária segundo as indicações da imagem.

A janela de confirmação aparece. Selecione sim para confirmar segundo as indicações daimagem.

Verificação:

Do FMC segundo as indicações da imagem.●

Dos FXO CLI.●

FPR9K-1-A# scope ssa

FPR9K-1-A /ssa # show app-instance

Application Name Slot ID Admin State Operational State Running Version Startup

Version Cluster Oper State

-------------------- ---------- --------------- -------------------- --------------- -----------

---- ------------------


In Cluster


In Cluster


In Cluster

Da LINA (ASA) CLI.●

firepower# show cluster info

Cluster FTD_cluster: On

Interface mode: spanned

This is "unit-1-1" in state MASTER

ID : 0

Version : 9.6(1)

Serial No.: FLM19216KK6

CCL IP : 127.2.1.1

CCL MAC : 0015.c500.016f


Last leave: N/A

Other members in the cluster:


ID : 1

Version : 9.6(1)

Serial No.: FLM19206H7T

CCL IP : 127.2.1.3

CCL MAC : 0015.c500.018f


Last leave: N/A


ID : 2

Version : 9.6(1)

Serial No.: FLM19206H71

CCL IP : 127.2.1.2

CCL MAC : 0015.c500.019f


Last leave: N/A

firepower#

Note: O dispositivo foi removido registro do FMC mas é ainda funções no FPR9300.

A tarefa 7. adiciona o dispositivo para aglomerar-se


O log no FMC e adiciona um dispositivo de volta ao conjunto.

Solução:

Etapa 1. O Shell Seguro (ssh) à interface de gerenciamento FTD e navega a CLISH CLI.

Depois que você suprime do dispositivo do FMC a configuração dos gerentes esteve suprimida doFTD.

> show managers

No managers configured.

A fim adicionar a configuração dos gerentes execute o comando:

> configure manager add 10.62.148.73 cisco

Manager successfully configured.

Please make note of reg_key as this will be required while adding Device in FMC.

Verificação:

> show managers

Host : 10.62.148.73

Registration Key : ****

Registration : pending

RPC Status :

Type : Manager

Host : 10.62.148.73

Registration : Pending

>

Etapa 2. O log no FMC GUI e registra o dispositivo.

Navegue aos dispositivos > ao Gerenciamento de dispositivos e clique o botão do dispositivo do >Add adicionar.

Adicionar o dispositivo lógico para trás segundo as indicações da imagem.

Etapa 3. Inclua o dispositivo ao conjunto.

Depois que o registro é feito, clique sobre o botão do conjunto do > Add Add. Escolha a unidadeprimária, o nome de grânulos auto-é enchido e todos os dispositivos secundários elegíveis sãoadicionados à caixa dos dispositivos secundários, que inclui a unidade que nova você apenasadicionou ao centro de gerenciamento segundo as indicações da imagem.


Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A verificação é terminada e coberta nas tarefas individuais.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para estaconfiguração.

Informações Relacionadas

Todas as versões do manual de configuração do centro de gerenciamento de CiscoFirePOWER podem ser encontradas aqui:

●

https://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280.

Todas as versões dos guias do gerente e de configuração de CLI do chassi FXO podem serencontradas aqui:

●

/content/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280

/content/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280

https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950.

O centro de assistência técnica (TAC) global de Cisco recomenda fortemente este guia visualpara o conhecimento prático detalhado em tecnologias de segurança da próxima geração deCisco FirePOWER, incluindo esses mencionados neste artigo:

●

http://www.ciscopress.com/title/9781587144806.

Para toda a configuração e TechNotes do Troubleshooting que se refere Tecnologias deFirePOWER.

●

https://www.cisco.com/c/en/us/support/security/defense-center/tsd-products-support-series-home.html.

Suporte Técnico e Documentação - Cisco Systems●

/content/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950

/content/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950

http://www.ciscopress.com/title/9781587144806

https://www.cisco.com/c/pt_br/support/security/defense-center/tsd-products-support-series-home.html

https://www.cisco.com/c/pt_br/support/security/defense-center/tsd-products-support-series-home.html

https://www.cisco.com/c/pt_br/support/index.html

Documents

Configurar FTD que aglomera-se em FP9300 (os intra-chassis) · intra-chassis) Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Informações de Apoio ... Defesa