Introduzione
In questo documento viene descritto come eseguire il rollback di una modifica della distribuzione da SFMC protetto che influisce sulla connettività a SFTD.
Prerequisiti
Requisiti
L'uso di questa funzione è supportato a partire dalla versione 6.7 di Secure FirePOWER Threat Detection®.
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Configurazione di Secure Firewall Management Center (SFMC®)
- Configurazione Cisco Secure FirePOWER Threat Defense (SFTD)
Componenti usati
- Secure Firewall Management Center per VMware versione 7.2.1
- Secure Firepower Threat Defense per VMware versione 7.2
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
In alcuni scenari la comunicazione con SFMC, SFTD o tra SFMC e SFTD viene persa quando una modifica della distribuzione influisce sulla connettività di rete. È possibile eseguire il rollback della configurazione nell'SFTD all'ultima configurazione distribuita per ripristinare la connettività di gestione.
Utilizzare il comando configure policy rollback per eseguire il rollback della configurazione nella difesa dalle minacce all'ultima configurazione distribuita.
Nota: il comando configure policy rollback è stato introdotto nella versione 6.7
Vedere le linee guida:
- Solo la distribuzione precedente è disponibile localmente nella difesa contro le minacce; non è possibile eseguire il rollback a distribuzioni precedenti.
- Il rollback è supportato per l'elevata disponibilità dal centro di gestione 7.2 in poi.
- Il rollback non è supportato per le distribuzioni di clustering.
- Il rollback influisce solo sulle configurazioni che è possibile impostare nel centro di gestione. Ad esempio, il rollback non influisce sulle configurazioni locali relative all'interfaccia di gestione dedicata, che è possibile configurare solo nella CLI di difesa dalle minacce. Si noti che se dopo l'ultima distribuzione del centro di gestione sono state modificate le impostazioni dell'interfaccia dati utilizzando il comando configure network management-data-interface e quindi si utilizza il comando rollback, tali impostazioni non verranno mantenute e verranno ripristinate alle ultime impostazioni del centro di gestione distribuite.
- Non è possibile eseguire il rollback della modalità UCAPL/CC.
- Impossibile eseguire il rollback dei dati del certificato SCEP fuori banda aggiornati durante la distribuzione precedente.
- Durante il rollback, le connessioni possono interrompersi perché la configurazione corrente viene cancellata.
Configurazione
Esempio di rete
Il documento usa la seguente configurazione di rete:
Immagine 1. Diagramma
Scenario
In questa configurazione, SFTD viene gestito dall'SFMC utilizzando l'interfaccia interna del firewall, esiste una regola che consente la raggiungibilità dal notebook all'SFMC.
Procedura
Passaggio 1. La regola denominata FMC-Access è stata disabilitata in SFMC. Dopo la distribuzione, la comunicazione tra il laptop e SFMC viene bloccata.
Immagine 2. Regola che consente di disabilitare la raggiungibilità di SFMC
Immagine 3. Raggiungibilità di SFMC dal notebook non funzionante
Passaggio 2. Accedere all'SFTD tramite SSH o la console, quindi usare il comando configure policy rollback.
Nota: se non è possibile accedere tramite SSH, collegarsi in modalità telnet.
> configure policy rollback
---------------------------------------------------------------------------------------------
[Warning] Perform a policy rollback if the FTD communicates with the FMC on a data interface, and it has lost connectivity due to a policy deployment from the FMC. If the FTD still has connectivity to the FMC,
and you want to perform a policy rollback for other purposes, then you should do the rollback on the FMC and not with this command. Note that there will be a traffic drop when you rollback the policy.
Checking Eligibility ....
============= DEVICE DETAILS =============
Device Version: 7.2.0
Device Type: FTD
Device Mode: Offbox
Device in HA: false
Device in Cluster: false
Device Upgrade InProgress: false
==========================================
Device is eligible for policy rollback
This command will rollback the policy to the last deployment done on Jul 15 20:38.
[Warning] The rollback operation will revert the convergence mode.
Do you want to continue (YES/NO)?
Passaggio 3. Scrivere la parola YES per confermare il rollback dell'ultima distribuzione, quindi attendere il termine del processo di rollback.
Do you want to continue (YES/NO)? YES
Starting rollback...
Deployment of Platform Settings to device. Status: success
Preparing policy configuration on the device. Status: success
Applying updated policy configuration on the device. Status: success
Applying Lina File Configuration on the device. Status: success
INFO: Security level for "diagnostic"set to 0 by default.
Applying Lina Configuration on the device. Status: success
Commit Lina Configuration. Status: success
Commit Lina File Configuration. Status: success
Finalizing policy configuration on the device. Status: success
============================================
POLICY ROLLBACK STATUS: SUCCESS
============================================
Suggerimento: se il rollback non riesce, contattare Cisco TAC
Passaggio 4. Dopo il rollback, verificare la raggiungibilità di SFMC. L'SFTD notifica all'SFMC che il rollback è stato completato. Nella schermata di distribuzione di SFMC viene visualizzato un banner che indica che è stato eseguito il rollback della configurazione.
Immagine 4. Raggiungibilità di SFMC dal notebook ripristinato
Immagine 5. Messaggio SFMC di conferma del rollback da SFTD
Passaggio 5. Una volta ripristinato l'accesso a SFMC, risolvere il problema di configurazione di SFMC e ridistribuirlo.
Immagine 6. Annulla le modifiche
Risoluzione dei problemi
Se il rollback non riesce, contattare Cisco TAC; per ulteriori problemi durante il processo, leggere l'articolo successivo:
· Rollback dell'installazione