FTD Multi-Instance High-Availability instellen op Firepower 4100

Inleiding

Dit document beschrijft hoe u failover kunt configureren in FTD-containerinstanties (Multi-Instance).

Voorwaarden

Vereisten

Cisco raadt u aan kennis te hebben van Firepower Management Center en Firewall Threat Defence.

Gebruikte componenten

Cisco Firepower Management Center Virtual 7.2.5
Cisco FirePOWER 4145 NGFW-applicatie (FTD) 7.2.5
Firepower eXtensible Operating System (FXOS) 2.12 (0.498)
Windows 10

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Alvorens FTD Multi-Instance te implementeren, is het belangrijk om te begrijpen hoe het uw systeemprestaties kan beïnvloeden en dienovereenkomstig te plannen. Raadpleeg altijd de officiële documentatie van Cisco of neem contact op met een technische vertegenwoordiger van Cisco om een optimale implementatie en configuratie te garanderen.

Achtergrondinformatie

Multi-Instance is een functie van Firepower Threat Defence (FTD) die vergelijkbaar is met ASA multiple context mode. Het stelt u in staat om meerdere, aparte container Instanties van FTD op een enkel stuk hardware uit te voeren. Elke container instantie staat harde middelenscheiding, afzonderlijk configuratiebeheer, afzonderlijke herladingen, afzonderlijke software-updates, en volledige ondersteuning van bedreigingsverdediging. Dit is met name nuttig voor organisaties die verschillende beveiligingsmaatregelen voor verschillende afdelingen of projecten nodig hebben, maar niet willen investeren in meerdere afzonderlijke hardwareapparatuur. De Multi-Instance optie wordt momenteel ondersteund op het FirePOWER 4100 en 9300 Series security apparaat waarop FTD 6.4 en hoger wordt uitgevoerd.

Dit document gebruikt Firepower4145 die maximaal 14 Container-instanties ondersteunt. Raadpleeg voor de maximale aantal instanties die in FirePOWER-applicatie worden ondersteund Maximum aantal containerinstanties en -bronnen per model.

Netwerkdiagram

Dit document introduceert de configuratie en verificatie voor HA in Multi-Instance op dit diagram.

Logisch configuratiediagram

Diagram van fysieke configuratie

Configuraties

Stap 1. Interfaces vooraf configureren

a. Navigeren naar interfaces op FCM. Set 2 beheerinterfaces. In dit voorbeeld Ethernet1/3 en Ethernet1/7.

Interfaces vooraf configureren

Stap 2. Voeg 2 resourceprofielen toe voor containerinstanties.

a. Navigeer naar Platform Instellingen > Resource Profiles > Add on FCM. Stel 1e resourceprofiel in.

In dit voorbeeld : 
·Naam: Instance01
·Aantal kernen: 10

1e resourceprofiel toevoegen

b. Herhaal a. in stap 2 om het tweede resourceprofiel te configureren.

In dit voorbeeld : 
·Naam : instantie02
·Aantal kernen: 20

2e resourceprofiel toevoegen

c. Controleer of er twee resourceprofielen zijn toegevoegd.

Resourceprofiel bevestigen

Stap 3. (Optioneel)Voeg een MAC Pool Prefix van virtueel MAC-adres toe voor Container Instance Interfaces.

U kunt het virtuele MAC-adres voor de Active/Stanby-interface handmatig instellen. Als de Virtuele Adressen van MAC niet, voor multi-instantie vermogen worden geplaatst, produceert het chassis automatisch de adressen van MAC voor de interfaces van de Instantie, en garandeert dat een gedeelde interface in elke Instantie een uniek adres van MAC gebruikt. 

Contr. Een MAC Pool Prefix toevoegen en MAC-adressen bekijken voor Container Instance Interfaces voor meer details over MAC-adres. 

Stap 4. Voeg een standalone instantie toe.

a. Navigeer naar logische apparaten > Standalone toevoegen. Eerste instantie instellen.

In dit voorbeeld : 
·Apparaatnaam : FTD01
·Type instantie: container

Instantie toevoegen

Stap 5. Interfaces configureren

a. Stel Resource Profile, Management Interface, Management IP in voor Instance01.

In dit voorbeeld :
·Resourceprofiel: Instance01
·Beheerinterface: Ethernet1/3
·ManagementIP: x.x.1.1

Profielen/beheerinterface/IP-beheer configureren

b. Stel data-interfaces in.

In dit voorbeeld :

·Ethernet1/1 (gebruikt voor binnenkant)

·Ethernet1/2 (gebruikt voor buitengebruik)

·Ethernet1/4 (gebruikt voor HA-link)

Gegevensinterfaces instellen

c. Navigeer naar logische apparaten. Wachten op bijv. bootup.

Status van instantie bevestigen01

d. Herhaal a. in stap 4.a en stap 5.a tot en met c om de tweede instantie toe te voegen en geef er een detail voor in te stellen.

In dit voorbeeld :

·Apparaatnaam: FTD11
·Type instantie: Container

·Resourceprofiel: Instance02
·Beheerinterface: Ethernet1/7
·ManagementIP: x.x.10.1

·Ethernet1/5 = binnenkant 

·Ethernet1/6 = buiten

·Ethernet1/8 = HA-link

e. Bevestig 2 Instanties zijn online status op FCM.

Instantiestatus op primair apparaat bevestigen

f. (optioneel) Start scope ssa , scope slot 1  en show app-Instance  bevestig 2 instanties zijn online status op Firepower CLI.

FPR4145-ASA-K9# scope ssa FPR4145-ASA-K9 /ssa # scope slot 1 FPR4145-ASA-K9 /ssa/slot # show app-Instance Application Instance: App Name Identifier Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------ ftd FTD01 Enabled Online 7.2.5 208 7.2.5 208 Container No Instance01 Not Applicable None --> FTD01 Instance is Online ftd FTD11 Enabled Online 7.2.5 208 7.2.5 208 Container No Instance02 Not Applicable None --> FTD11 Instance is Online

g. Doe dit ook met het secundaire apparaat. Bevestig 2 Instanties zijn online status.

Instantiestatus op secundair apparaat bevestigen

Stap 6. Voeg een hoog beschikbaarheidspaar toe voor elke instantie.

a. Ga naar Apparaten > Apparaat toevoegen op VCC. Voeg alle instanties toe aan het VCC.

In dit voorbeeld :

·Naam weergeven voor Instance01 van FTD1: FTD1_FTD01
·Naam weergeven voor Instance02 van FTD1: FTD1_FTD11
·Naam weergeven voor Instance01 van FTD2: FTD2_FTD02
·Naam weergeven voor Instance02 van FTD2: FTD2_FTD12

Dit beeld toont de instelling voor FTD1_FTD01.

FTD-instantie toevoegen aan FMC

b. Controleer of alle exemplaren normaal zijn.

Instantiestatus in VCC bevestigen

c. Navigeer naar apparaten > Hoge beschikbaarheid toevoegen. Stel 1e failover-paar in.

In dit voorbeeld :

·Naam: FTD01_FTD02_HA

·Primaire peer: FTD1_FTD01 

·Secundaire peer: FTD2_FTD02

1e failover-paar toevoegen

d. Stel IP voor failover link in als 1e failover-paar.

In dit voorbeeld :

·High Availability Link: Ethernet1/4

·Statuslink: Ethernet1/4

·Primair IP-adres: 192.168.90.1/24

·Secundair IP-adres: 192.168.90.2/24

HA-interface en IP instellen voor 1e failover-paar

e. Bevestig de status van failover

·FTD1_FTD01: Primair, actief

·FTD2_FTD02: Secundair, stand-by

Status van eerste failover-paar bevestigen

f. Navigeren naar apparaten > Klik op FTD01_FTD02_HA (in dit voorbeeld) > Interfaces. Stel actieve IP voor data-interface in.

In dit voorbeeld :
·Ethernet1/1 (binnenkant): 192.168.10.254/24
·Ethernet1/2 (buiten): 192.168.20.254/24
·Ethernet1/3 (diagnostisch): 192.168.80.1/24

Dit beeld toont de instelling voor Active IP van Ethernet1/1.

Actieve IP voor data-interface instellen

Ga naar Apparaten > Klik op FTD01_FTD02_HA (in dit voorbeeld) > High Availability. Stel stand-by IP voor data-interface in.

In dit voorbeeld :
·Ethernet1/1 (binnenkant): 192.168.10.253/24
·Ethernet1/2 (buiten): 192.168.20.253/24
·Ethernet1/3 (diagnostisch): 192.168.80.2/24

Dit beeld toont de instelling voor Standby IP van Ethernet1/1.

Standby IP voor data-interface instellen

h. Herhaal stap 6.c tot en met g om het tweede failover-paar toe te voegen.

In dit voorbeeld :

·Naam : FTD11_FTD12_HA
·Primaire peer: FTD1_FTD11 
·Secundaire peer: FTD2_FTD12

·High Availability Link: Ethernet1/8
·State Link: Ethernet1/8
·Ethernet1/8 (ha_link actief): 192.168.91.1/24

·Ethernet1/5 (in actief): 192.168.30.254/24
·Ethernet1/6 (buiten actief): 192.168.40.254/24
·Ethernet1/7 (diagnostisch actief): 192.168.81.1/24

·Ethernet1/8 (ha_link Standby): 192.168.91.2/24

·Ethernet1/5 (in standby): 192.168.30.253/24
·Ethernet1/6 (buiten Standby): 192.168.40.253/24
·Ethernet1/7 (diagnostische stand-by): 192.168.81.2/24

i. Navigeren naar logische apparaten > Standalone toevoegen. Stel de ACS-regel in om het verkeer van binnen naar buiten toe mogelijk te maken.

ACS-regeling instellen

j. Stel de instelling in op FTD.

k. Bevestig de HA-status in CLI

De HA status voor elke instantie wordt ook bevestigd in Firepower CLI die hetzelfde is als ASA.

Start show running-config failover  en show failover  opdracht om de HA-status van FTD1_FTD01 (Primaire instantie01) te bevestigen.

// confrim HA status of FTD1_FTD01 (Instance01 of Primary Device) > show running-config failover failover failover lan unit primary failover lan interface ha_link Ethernet1/4 failover replication http failover link ha_link Ethernet1/4 failover interface ip ha_link 192.168.90.1 255.255.255.0 standby 192.168.90.2 > show failover Failover On Failover unit Primary Failover LAN Interface: ha_link Ethernet1/4 (up) ...... This host: Primary - Active <---- Instance01 of FPR01 is Active Interface diagnostic (192.168.80.1): Normal (Monitored) Interface inside (192.168.10.254): Normal (Monitored) Interface outside (192.168.20.254): Normal (Monitored)
...... Other host: Secondary - Standby Ready <---- Instance01 of FPR02 is Standby Interface diagnostic (192.168.80.2): Normal (Monitored) Interface inside (192.168.10.253): Normal (Monitored) Interface outside (192.168.20.253): Normal (Monitored)

Uitvoeren show running-config failover  en show failover  opdracht om de HA-status van FTD1_FTD11 te bevestigen (Primaire instantie02) .

// confrim HA status of FTD1_FTD11 (Instance02 of Primary Device) > show running-config failover failover failover lan unit primary failover lan interface ha_link Ethernet1/8 failover replication http failover link ha_link Ethernet1/8 failover interface ip ha_link 192.168.91.1 255.255.255.0 standby 192.168.91.2 > show failover Failover On Failover unit Primary Failover LAN Interface: ha_link Ethernet1/8 (up) ...... This host: Primary - Active <---- Instance02 of FPR01 is Active Interface diagnostic (192.168.81.1): Normal (Monitored) Interface inside (192.168.30.254): Normal (Monitored) Interface outside (192.168.40.254): Normal (Monitored) ......
Other host: Secondary - Standby Ready <---- Instance02 of FPR02 is Standby Interface diagnostic (192.168.81.2): Normal (Monitored) Interface inside (192.168.30.253): Normal (Monitored) Interface outside (192.168.40.253): Normal (Monitored)

Doorlopen show running-config failover  en show failover  opdracht geven om de HA-status van FTD2_FTD02 te bevestigen (Secundaire instantie01) .

// confrim HA status of FTD2_FTD02 (Instance01 of Secondary Device) > show running-config failover failover failover lan unit secondary failover lan interface ha_link Ethernet1/4 failover replication http failover link ha_link Ethernet1/4 failover interface ip ha_link 192.168.90.1 255.255.255.0 standby 192.168.90.2 > show failover Failover On Failover unit Secondary Failover LAN Interface: ha_link Ethernet1/4 (up) ...... This host: Secondary - Standby Ready <---- Instance01 of FPR02 is Standby Interface diagnostic (192.168.80.2): Normal (Monitored) Interface inside (192.168.10.253): Normal (Monitored) Interface outside (192.168.20.253): Normal (Monitored) ......
Other host: Primary - Active <---- Instance01 of FPR01 is Active Active time: 31651 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(3)53) status (Up Sys) Interface diagnostic (192.168.80.1): Normal (Monitored) Interface inside (192.168.10.254): Normal (Monitored) Interface outside (192.168.20.254): Normal (Monitored)

Start show running-config failover  en show failover  opdracht om de HA-status van FTD2_FTD12 (Secundaire instantie02) te bevestigen.

// confrim HA status of FTD2_FTD12 (Instance02 of Secondary Device) > show running-config failover failover failover lan unit secondary failover lan interface ha_link Ethernet1/8 failover replication http failover link ha_link Ethernet1/8 failover interface ip ha_link 192.168.91.1 255.255.255.0 standby 192.168.91.2 > show failover Failover On Failover unit Secondary Failover LAN Interface: ha_link Ethernet1/8 (up) ...... This host: Secondary - Standby Ready <---- Instance02 of FPR02 is Standby Interface diagnostic (192.168.81.2): Normal (Monitored) Interface inside (192.168.30.253): Normal (Monitored) Interface outside (192.168.40.253): Normal (Monitored) ......
Other host: Primary - Active <---- Instance02 of FPR01 is Active Active time: 31275 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(3)53) status (Up Sys) Interface diagnostic (192.168.81.1): Normal (Monitored) Interface inside (192.168.30.254): Normal (Monitored) Interface outside (192.168.40.254): Normal (Monitored)

l. Bevestig het verbruik van de vergunning

Alle licenties worden verbruikt per beveiligingsmotor/chassis en niet per container instantie.

·Basislicenties worden automatisch toegewezen: één per beveiligingsmotor/chassis.

·Licenties voor functies worden handmatig toegewezen aan elke instantie, maar u verbruikt slechts één licentie per voordeelmotor/chassis. Voor een specifieke functielicentie hebt u slechts in totaal 1 licentie nodig, ongeacht het aantal gebruikte instanties.

In deze tabel wordt aangegeven hoe de licenties in dit document worden verbruikt.

FPR01	Instantie01	Basis, URL-filtering, malware, bedreiging
	Instantie02	Basis, URL-filtering, malware, bedreiging
FPR02	Instantie01	Basis, URL-filtering, malware, bedreiging
	Instantie02	Basis, URL-filtering, malware, bedreiging

Totaal aantal licenties

Basis	URL-filtering	Malware	dreigement
2	2	2	2

Bevestig het aantal verbruikte licenties in de FMC GUI.

Bevestig verbruikte licenties

Verifiëren

Wanneer de crash plaatsvond op FTD1_FTD01 (Primary Instance01), wordt de failover van Instance01 geactiveerd en nemen de gegevensinterfaces aan de Standby-zijde het IP/MAC-adres van de oorspronkelijke Active Interface over, waardoor het verkeer (FTP-verbinding in dit document) continu door Firepower wordt doorgegeven.

Voor de botsing

tijdens de crash

failover is geactiveerd

Stap 1. Start FTP verbinding van Win10-01 naar Win10-02.

Stap 2. De show conn  opdracht Uitvoeren om de FTP-verbinding te bevestigen is in beide gevallen vastgelegd.

// Confirm the connection in Instance01 of FPR01 > show conn TCP outside 192.168.20.1:21 inside 192.168.10.1:49723, idle 0:00:11, bytes 529, flags UIO N1 // Confirm the connection in Instance01 of FPR02 > show conn TCP outside 192.168.20.1:21 inside 192.168.10.1:49723, idle 0:00:42, bytes 530, flags UIO N1

Stap 3. Start FTP verbinding van Win10-03 naar Win10-04.

Stap 4. De show conn  opdracht Uitvoeren om de FTP-verbinding te bevestigen is in beide gevallen vastgelegd.

// Confirm the connection in Instance02 of FPR01 > show conn TCP outside 192.168.40.1:21 inside 192.168.30.1:52144, idle 0:00:02, bytes 530, flags UIO N1 // Confirm the connection in Instance02 of FPR02 > show conn TCP outside 192.168.40.1:21 inside 192.168.30.1:52144, idle 0:00:13, bytes 530, flags UIO N1

Stap 5. Start connect ftd FTD01 en system support diagnostic-cli opdracht om ASA CLI te starten. Start enableen crashinfo force watchdog  commando om crash Instance01 in primaire/actieve eenheid te forceren.

Firepower-module1>connect ftd FTD01 > system support diagnostic-cli FTD01> enable Password: FTD01# FTD01# crashinfo force watchdog reboot. Do you wish to proceed? [confirm]:

Stap 6. Failover treedt op in Instance01 en de FTP-verbinding wordt niet onderbroken. Draai show failover en show conn commando om de status van Instance01 in FPR02 te bevestigen.

> show failover Failover On Failover unit Secondary Failover LAN Interface: ha_link Ethernet1/4 (up) ...... This host: Secondary - Active <---- Instance01 of FPR02 is Switching to Active Interface diagnostic (192.168.80.1): Normal (Waiting) Interface inside (192.168.10.254): Unknown (Waiting) Interface outside (192.168.20.254): Unknown (Waiting) ......
Other host: Primary - Failed Interface diagnostic (192.168.80.2): Unknown (Monitored) Interface inside (192.168.10.253): Unknown (Monitored) Interface outside (192.168.20.253): Unknown (Monitored) > show conn TCP outside 192.168.20.1:21 inside 192.168.10.1:49723, idle 0:02:25, bytes 533, flags U N1

Stap 7. De crash in Instance01 had geen effect op Instance02. Draai show failover en show conn commando om de status van Instance02 te bevestigen.

> show failover Failover On Failover unit Secondary Failover LAN Interface: ha_link Ethernet1/8 (up) ...... This host: Secondary - Standby Ready Interface diagnostic (192.168.81.2): Normal (Monitored) Interface inside (192.168.30.253): Normal (Monitored) Interface outside (192.168.40.253): Normal (Monitored) ......
Other host: Primary - Active Interface diagnostic (192.168.81.1): Normal (Monitored) Interface inside (192.168.30.254): Normal (Monitored) Interface outside (192.168.40.254): Normal (Monitored) > show conn TCP outside 192.168.40.1:21 inside 192.168.30.1:52144, idle 0:01:18, bytes 533, flags UIO N1

Stap 8. Ga naar Apparaten > Alles op FMC. Bevestig de HA-status.

·FTD1_FTD01: Primair, stand-by

·FTD2_FTD02: Secundair, actief

HA-status bevestigen

Stap 9. (Optioneel)Nadat de Instance01 van FPR01 terugkeert naar normaal, kunt u de status van HA handmatig switches. Dit kan door FMC GUI of FRP CLI worden gedaan.

Ga in het VCC naar Apparaten > Alle. Klik op Switch Active Peer to switch HA status voor FTD01_FTD02_HA.

Switch HA-status

Op Firepower CLI, Start connect ftd FTD01 en system support diagnostic-cli opdracht om ASA CLI in te voeren. Start enableen failover active  commando naar switch HA voor FTD01_FTD02_HA.

Firepower-module1>connect ftd FTD01 > system support diagnostic-cli Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach. Type help or '?' for a list of available commands. firepower> enable firepower# failover active

Problemen oplossen

Om de status van failover te valideren, voert u show failover de show failover history  opdracht uit. 

> show failover Failover On Failover unit Secondary Failover LAN Interface: ha_link Ethernet1/8 (up) ...... This host: Secondary - Standby Ready Interface diagnostic (192.168.81.2): Normal (Monitored) Interface inside (192.168.30.253): Normal (Monitored) Interface outside (192.168.40.253): Normal (Monitored) ......
Other host: Primary - Active Interface diagnostic (192.168.81.1): Normal (Monitored) Interface inside (192.168.30.254): Normal (Monitored) Interface outside (192.168.40.254): Normal (Monitored)

> show failover history ========================================================================== From State To State Reason ========================================================================== 07:26:52 UTC Jan 22 2024 Negotiation Cold Standby Detected an Active peer 07:26:53 UTC Jan 22 2024 Cold Standby App Sync Detected an Active peer 07:28:14 UTC Jan 22 2024 App Sync Sync Config Detected an Active peer 07:28:18 UTC Jan 22 2024 Sync Config Sync File System Detected an Active peer 07:28:18 UTC Jan 22 2024 Sync File System Bulk Sync Detected an Active peer 07:28:33 UTC Jan 22 2024 Bulk Sync Standby Ready Detected an Active peer

Start de opdracht debug fover <optie> om debug-logbestand van failover in te schakelen.

> debug fover auth Failover Cloud authentication cable Failover LAN status cmd-exec Failover EXEC command execution conn Failover Cloud connection fail Failover internal exception fmsg Failover message ifc Network interface status trace open Failover device open rx Failover Message receive rxdmp Failover recv message dump (serial console only) rxip IP network failover packet recv snort Failover NGFW mode snort processing switch Failover Switching status sync Failover config/command replication synccount Failover Sync Count tx Failover Message xmit txdmp Failover xmit message dump (serial console only) txip IP network failover packet xmit verbose Enable verbose logging verify Failover message verify

Referentie

https://www.cisco.com/c/en/us/support/docs/security/firepower-management-center/212699-configure-ftd-high-availability-on-firep.html
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/multi-Instance/multi-Instance_solution.html

https://www.cisco.com/c/en/us/support/docs/availability/high-availability/217763-troubleshoot-firepower-threat-defense-hi.html#toc-hId-46641497