Configurare miglioramenti della funzionalità cluster in Firewall Management Center 7.4

Opzioni per il download

  • PDF     (1.3 MB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:22 luglio 2024
ID documento:222100

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come utilizzare i miglioramenti dei servizi in FMC 7.4

    Novità

    • Diagnostica del collegamento Cluster Control Link (CCL) e assistenza per la verifica della correttezza delle impostazioni.
    • Le CLI di Lina del cluster possono ora essere visualizzate in Centro gestione firewall (FMC).
    • Risoluzione dei problemi di generazione
      • Ora può essere generata contemporaneamente per tutti i dispositivi di un cluster.
      • La risoluzione dei problemi di generazione è automatica se un nodo non riesce a unirsi a un cluster.
      • Risolvere i problemi relativi alla generazione e alla navigazione dalla scheda Dispositivi > Cluster/Dispositivo.

    Prerequisiti, Piattaforme supportate, Licenze

    Piattaforme software e hardware minime

    Applicazione e versione minima

    Dispositivi gestiti 

    Versione minima dispositivo gestito supportato richiesta 

    Note

    Secure Firewall 7.4

    Tutti che supportano il clustering su FTD

    Solo i miglioramenti apportati alla "Generazione di soluzioni dei problemi" richiedono la versione FTD 7.4 o successiva

    · API REST FMC locale + FMC

    · FMC distribuito tramite cloud

    Si tratta di una funzionalità di FMC, pertanto la configurazione può essere applicata a qualsiasi dispositivo che FMC 7.4 è in grado di gestire.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco Firewall Management Center (FMC) con versione 7.4 
    • Cisco Firepower Threat Defense (FTD) con versione 7.4 o successive.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Diagnostica collegamento CCL

    Avviso MTU dell'interfaccia di collegamento di controllo del cluster nella pagina Riepilogo cluster

    Problema

    • Il clustering richiede una MTU superiore per il collegamento di controllo del cluster rispetto alle interfacce dati.
    • Spesso l'MTU non viene impostata su un valore sufficientemente alto, il che causa problemi di affidabilità.
    • Per sincronizzare lo stato del cluster sui nodi, è consigliabile che l'MTU della CCL sia maggiore della MTU massima dell'interfaccia dati, basata sulla piattaforma, di 100 o 154 byte.

    MTU CCL = (MTU massima interfaccia dati) + 100 |154 

    Ad esempio, per un dispositivo FTDv, se 1700 byte è la MTU massima dell'interfaccia dati, il valore della MTU dell'interfaccia CCL verrà impostato su 1854:
    1854 = 1700 + 154

    Suggerimenti per le dimensioni dell'MTU per piattaforma

    Piattaforma

    MTU massima interfaccia dati di esempio

    Aggiungi

    Impostazione totale consigliata per MTU per collegamento CCL

    Serie Sec FW 3100

    1700

    100

    1800

    FTDv

    1700

    154

    1854

    Soluzione

    • Quando si crea un cluster, il valore MTU del collegamento CCL viene impostato automaticamente sul valore consigliato sull'interfaccia.
      Configurare lo switch in modo che corrisponda a questo valore.
    • Messaggio di avviso di esempio:
      Il clustering richiede una MTU superiore per il collegamento di controllo del cluster. La MTU massima corrente dell'interfaccia dati è di 1500 byte; la MTU consigliata per il collegamento di controllo del cluster è di 1654 byte o superiore. Prima di procedere, verificare che gli switch connessi corrispondano alle MTU delle interfacce dati e del collegamento di controllo del cluster, altrimenti la formazione del cluster non riuscirà.
    • Se la configurazione del lato switch per l'interfaccia CCL non corrisponde a questo valore, il dispositivo non riesce a unirsi al cluster. 

    Banner avviso aggiunta cluster

    Test ping CCL nello stato Live del cluster

    Verifica connettività CCL

    • Necessità di effettuare il provisioning dell'utente per verificare la connettività CCL con le dimensioni del pacchetto MTU CCL

    Soluzione

    Comando ping CCL

    Aggiunte dimensioni MTU CCL per il cloud pubblico

    Valori MTU del cluster di Azure e AWS

    Sono disponibili nuovi valori CCL e MTU dell'interfaccia dati consigliati per i cluster FTDv del cloud pubblico 7.4.

    MTU CCL consigliata in 7.3

    Consigliato 

    MTU CCL in 7.4

    MTU dell'interfaccia dati consigliata in 7.3

    Consigliato 

    MTU dell'interfaccia dati in 7.4

    Cluster Bilanciamento carico di rete Azure

    1554

    1454

    1400

    1300

    Cluster GWLB di Azure

    1554

    1454

    1454

    1374

    Cluster AWS GWLB

    1960

    1980

    1806

    1826

    Dopo l'aggiornamento di un cluster alla versione 7.4, la CCL e l'MTU dell'interfaccia dati vengono aggiornati ai valori consigliati.

    CLI disponibili in FMC

    Prompt CLI di Device Line disponibile nella scheda Periferica/cluster

    Esegui CLI di Lina cluster da FMC

    • È ora possibile eseguire la risoluzione dei problemi CLI di LINA del cluster da FMC.

    Opzione CLI

    CLI di uso comune visualizzati per impostazione predefinita

    CLI predefiniti

    CLI cluster predefiniti

    • Le CLI che vengono eseguite per impostazione predefinita sono:

                   show running-config cluster

                   mostra informazioni sul cluster

                   mostra integrità informazioni cluster

                   mostra cp trasporto informazioni cluster

                   show version

                   show asp drop

                   show counters

                   mostra arp

                   show int ip brief

                   mostra blocchi

                   mostra cpu in dettaglio

                   show interface <interfaccia_ccl>

                   ping <ccl_ip> size <ccl_mtu> repeat 2

    Immissione manuale dei comandi disponibili

    Comandi CLI

    Generazione di soluzioni dei problemi

    Risoluzione automatica dei problemi di generazione in caso di errore di aggiunta al nodo

    • Quando un nodo non riesce a unirsi al cluster, viene generato automaticamente un messaggio di risoluzione dei problemi del dispositivo.
    • In Task Manager viene visualizzata una notifica.

    Errore nodo cluster

    Risoluzione dei problemi relativi al pulsante Trigger e scarica disponibile nelle schede Dispositivo e Cluster

    Generazione più semplice di soluzioni dei problemi dei cluster

    Registri e download aggiunti

    Generazione problemi cluster

    Scegli dispositivi

    Nodo (dispositivo) - Risoluzione dei problemi di generazione

    Fare clic su Log o Download

    Notifica del completamento della generazione della risoluzione dei problemi cluster

    Task Manager mostra lo stato della generazione della risoluzione dei problemi per ogni nodo del cluster. Attendere prima di fare clic su Download.

    Notifiche attività

    Domande e risposte

    D: In Azure è stato ridotto ma aumentato in AWS per l'MTU?

    R: Per i nuovi valori MTU nei cloud pubblici, in Azure l'MTU consigliata viene ridotta, ma viene aumentata in AWS.


    D: Durante l'aggiornamento, se l'MTU viene modificata automaticamente, è presente una voce Syslog?

    R: No, al momento non è stata creata alcuna voce Syslog. Possiamo rivederla se ce ne sarà bisogno.


    D: Dove viene visualizzato il valore MTU di ciascun nodo?

    R: Visualizzare il valore MTU come una colonna nella pagina Gestione dispositivi > Interfacce della scheda Cluster.


    D: Questo errore viene visualizzato perché lo switch non è impostato o l'altro nodo non è impostato?

    R: No, è un messaggio di avvertenza come precauzione che viene visualizzato sempre all'utente.


    D: Quale comando - show cluster - visualizza le dimensioni dell'MTU?

    R: Il ping CCL è predefinito e viene mostrato nei valori predefiniti della CLI.

    D: Nel caso di AWS, possiamo documentare le fasi per aumentare l'MTU sullo switch?

    A: Per pub tecnologici da controllare.

    D: Per HW - avete elencato solo la serie 3100 - che ne dite di 4K/9K/2K/1K?

    R: Clustering su 9300, 4100, 3100 e solo virtuale. È possibile eseguire 3100 da FMC, ma i cluster 4100 e 9300 vengono eseguiti nel gestore dello chassis, non in FMC.


    D: Per rendere effettive le modifiche dopo l'aggiornamento del dispositivo, è necessario eseguire l'installazione dal FMC?

    R: Sì, è necessario eseguire la distribuzione dopo l'aggiornamento. È necessario utilizzare i valori MTU consigliati.


    D: Stiamo fornendo un messaggio di avviso all'utente che indica che l'MTU è stata modificata, come se l'FTD si trovasse a metà del percorso in cui la creazione del tunnel GRE, l'utente vedrebbe il tunnel flapping o scendesse?

    R: È nella documentazione. Può lavorare sul messaggio di avviso. I nodi vengono adattati al nodo di controllo. L'opzione deve essere adattata ai nuovi valori. Il valore viene modificato dopo l'aggiornamento del nodo di controllo. Il valore MTU viene inviato dal controllo.


    D: Riavvieremo il dispositivo FTD se dopo l'aggiornamento stiamo modificando l'MTU?

    R: Non viene attivato alcun riavvio esplicito sull'FTD al momento dell'aggiornamento quando vengono modificati i valori MTU.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    17 luglio 2024
    Testo alternativo aggiunto. Formattazione aggiornata.
    1.0
    17 luglio 2024
    Release iniziale

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    22-Jul-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Surabhi Srivastava
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti