Substitua o Secure Firewall Management Center no par HA

Opções de download

  • PDF     (963.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (841.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (565.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:29 de abril de 2024
ID do documento:221952

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como substituir um Secure Firewall Management Center defeituoso em um par de alta disponibilidade (HA).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você conheça este tópico:

    • Cisco Secure Firewall Management Center (FMC)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco Secure Firewall Management Center (FMC) executando a versão 7.2.5 (1) no modo HA


    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Solução 1

    Processo de substituição de uma unidade defeituosa por um backup

    Etapa 1: Atribua a unidade operacional como ativa. Para obter mais detalhes, consulte Switching Peers no Management Center High Availability Pair.

    josegom3_0-1712877540935

    josegom3_1-1712877603600

    Etapa 2: Recrie a nova unidade para corresponder à versão do software da unidade ativa. Consulte Recriar um modelo de hardware de um Cisco Secure Firewall Management Center para obter mais informações.

    Etapa 3: Restaure o backup de dados da unidade com falha para o novo centro de gerenciamento. Navegue até System > Backup/Restore, carregue o arquivo de backup e restaure-o na nova unidade.

    josegom3_2-1712877680887

    josegom3_3-1712877707242

    Etapa 4: Se necessário, atualize a mesma versão de atualizações do banco de dados de geolocalização (GeoDB), do banco de dados de vulnerabilidade (VDB) e do software do sistema como a unidade ativa para garantir a consistência.

    josegom3_4-1712877741023

    Etapa 5: Depois que as atualizações forem concluídas, ambas as unidades podem exibir um status ativo, o que pode levar a uma condição de HA split-brain.

    Etapa 6: Continue para definir manualmente como ativa a unidade que esteve continuamente operacional. Isso permite que ele sincronize a configuração mais recente com a unidade de substituição.

    josegom3_5-1712877852767

    josegom3_6-1712877878853

    Etapa 7: Após a sincronização bem-sucedida, que pode demorar algum tempo, navegue até a interface da Web da unidade ativa. Em seguida, altere as funções, posicionando a nova unidade como o dispositivo ativo.

    Solução 2

    Processo de substituição de uma unidade defeituosa sem backup

    Etapa 1: Atribua a unidade operacional como ativa. Para obter mais detalhes, consulte Switching Peers no Management Center High Availability Pair.

    josegom3_7-1712878274097

    Etapa 2: Recrie a nova unidade para corresponder à versão do software da unidade ativa. Consulte Recriar um modelo de hardware de um Cisco Secure Firewall Management Center para obter mais informações.

    Etapa 3: se necessário, atualize a mesma versão de atualizações do banco de dados de geolocalização (GeoDB), do banco de dados de vulnerabilidade (VDB) e do software do sistema como a unidade ativa para garantir a consistência.

    josegom3_0-1712878447099

    Etapa 4: Use a interface da Web do centro de gerenciamento ativo para interromper o HA. Quando solicitado, selecione a opção Manage registered devices from this console.

    josegom3_1-1712878693895

    Etapa 5: reconfigure o HA do centro de gerenciamento configurando o centro de gerenciamento operacional como principal e a unidade de substituição como secundária. Para obter instruções detalhadas, consulte Estabelecendo a Alta Disponibilidade do Management Center.

    note-icon

    Observação: quando o HA é restabelecido, a configuração mais recente do centro de gerenciamento primário sincroniza com o centro de gerenciamento secundário. As Licenças clássicas e inteligentes foram projetadas para uma integração perfeita.

    Verificação

    Use esta seção para confirmar se a sua configuração funciona corretamente.

    Uma vez concluída a sincronização, a saída esperada é Status Healthy e Sincronização OK.

    josegom3_0-1712881075241

    Como esse processo pode levar algum tempo, as unidades Primária e Secundária ainda estão sendo sincronizadas. Durante esse período, verifique se os dispositivos estão listados corretamente nas unidades Principal e Secundária.

    Além disso, a verificação via CLI pode ser executada. Isso é obtido conectando-se ao CLI, alternando para o modo especialista, elevando os privilégios e executando estes scripts:

    fmc1:/Volume/home/admin# troubleshoot_HADC.pl
    ****************  Troubleshooting Utility  **************
 
 1   Show HA Info Of FMC
 2   Execute Sybase DBPing
 3   Show Arbiter Status
 4   Check Peer Connectivity
 5   Print Messages of AQ Task
 6   Show FMC HA Operations History (ASC order)
 7   Dump To File: FMC HA Operations History (ASC order)
 8   Last Successful Periodic Sync Time (When it completed)
 9   Print HA Status Messages
 10  Compare active and standby device list
 11  Check manager status of standby missing devices
 12  Check critical PM processes details
 13   Help
 0   Exit
 
**************************************************************
    fmc1:/Volume/home/admin# troubleshoot_HADC.pl
**************** Troubleshooting Utility **************
1 Show HA Info Of FMC
    2 Execute Sybase DBPing
    3 Show Arbiter Status
    4 Check Peer Connectivity
    5 Print Messages of AQ Task
    6 Show FMC HA Operations History (ASC order)
    7 Dump To File: FMC HA Operations History (ASC order)
    8 Help
    0 Exit
**************************************************************

    Para obter informações mais detalhadas, consulte Verificar a configuração do modo, da instância, da alta disponibilidade e da escalabilidade do Firepower.

    Troubleshooting

    Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    29-Apr-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Jose Trinidad Gomez Delgado
      Engenheiro de consultoria técnica de segurança da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos