Secure Firewall Management Center in HA-Paar ersetzen

Download-Optionen

  • PDF     (963.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (840.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (565.3 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:29. April 2024
Dokument-ID:221952

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie ein fehlerhaftes Secure Firewall Management Center in einem Hochverfügbarkeitspaar ersetzt wird.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie dieses Thema kennen:

    • Cisco Secure Firewall Management Center (FMC)

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco Secure Firewall Management Center (FMC) mit Version 7.2.5 (1) im HA-Modus


    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    Lösung 1

    Verfahren zum Ersetzen einer fehlerhaften Einheit durch ein Backup

    Schritt 1: Zuweisen der Betriebseinheit als aktiv. Weitere Informationen finden Sie unter Switching Peers in the Management Center High Availability Pair.

    josegom3_0-1712877540935

    josegom3_1-1712877603600

    Schritt 2: Erstellen Sie ein neues Image des neuen Geräts, das mit der Softwareversion des aktiven Geräts übereinstimmt. Weitere Informationen finden Sie unter Reimage a Hardware Model of a Cisco Secure Firewall Management Center (Hardware-Modell eines Cisco Secure Firewall Management Center neu erstellen).

    Schritt 3: Stellen Sie die Datensicherung vom ausgefallenen Gerät im neuen Verwaltungscenter wieder her. Navigieren Sie zu System > Backup/Restore (System > Sichern/Wiederherstellen), laden Sie die Sicherungsdatei hoch, und stellen Sie sie auf dem neuen Gerät wieder her.

    josegom3_2-1712877680887

    josegom3_3-1712877707242

    Schritt 4: Aktualisieren Sie ggf. die gleiche Version der Geolocation-Datenbank-Updates (GeoDB), der Schwachstellendatenbank-Updates (VDB) und der Systemsoftware-Updates wie die aktive Einheit, um die Konsistenz sicherzustellen.

    josegom3_4-1712877741023

    Schritt 5: Sobald die Updates abgeschlossen sind, können beide Geräte einen aktiven Status anzeigen, was zu einem HA-Split-Brain-Zustand führen kann.

    Schritt 6: Setzen Sie das Gerät, das kontinuierlich in Betrieb war, manuell als aktiv ein. Dadurch kann die neueste Konfiguration mit der Ersatzeinheit synchronisiert werden.

    josegom3_5-1712877852767

    josegom3_6-1712877878853

    Schritt 7: Navigieren Sie bei erfolgreicher Synchronisierung, die einige Zeit in Anspruch nehmen kann, zur Webschnittstelle der aktiven Einheit. Ändern Sie dann die Rollen, und positionieren Sie die neue Einheit als aktive Appliance.

    Lösung 2

    Verfahren zum Austausch einer fehlerhaften Einheit ohne Backup

    Schritt 1: Zuweisen der Betriebseinheit als aktiv. Weitere Informationen finden Sie unter Switching Peers in the Management Center High Availability Pair.

    josegom3_7-1712878274097

    Schritt 2: Erstellen Sie ein neues Image des neuen Geräts, das mit der Softwareversion des aktiven Geräts übereinstimmt. Weitere Informationen finden Sie unter Rimage a Hardware Model of a Cisco Secure Firewall Management Center (Hardware-Modell eines Cisco Secure Firewall Management Center neu erstellen).

    Schritt 3: Aktualisieren Sie ggf. dieselbe Version der Geolocation-Datenbank-Updates (GeoDB), der Schwachstellendatenbank-Updates (VDB) und der Systemsoftware-Updates wie die aktive Einheit, um die Konsistenz sicherzustellen.

    josegom3_0-1712878447099

    Schritt 4: Verwenden Sie die Webschnittstelle des aktiven Management Centers, um die hohe Verfügbarkeit zu unterbrechen. Wenn Sie dazu aufgefordert werden, wählen Sie die Option zum Verwalten registrierter Geräte von dieser Konsole aus.

    josegom3_1-1712878693895

    Schritt 5: Konfigurieren Sie die HA des Management Centers neu, indem Sie das Management Center als primäre und die Ersatzeinheit als sekundäre Einheit konfigurieren. Ausführliche Anweisungen finden Sie unter Einrichten der Hochverfügbarkeit von Management Center.

    note-icon

    Hinweis: Wenn die hohe Verfügbarkeit wiederhergestellt ist, wird die aktuelle Konfiguration des primären Management Centers mit dem sekundären Management Center synchronisiert. Sowohl Classic- als auch Smart-Lizenzen sind für eine reibungslose Integration konzipiert.

    Verifizierung

    Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Nach Abschluss der Synchronisierung lautet die erwartete Ausgabe Status fehlerfrei und Synchronisierung OK.

    josegom3_0-1712881075241

    Da dieser Vorgang einige Zeit in Anspruch nehmen kann, werden die primären und sekundären Einheiten noch synchronisiert. Stellen Sie während dieses Zeitraums sicher, dass Ihre Geräte sowohl in der primären als auch in der sekundären Einheit korrekt aufgeführt sind.

    Darüber hinaus kann die Überprüfung über die CLI durchgeführt werden. Erreicht wird dies durch die Verbindung mit der CLI, den Wechsel in den Expertenmodus, die Erweiterung der Berechtigungen und die Ausführung der folgenden Skripte:

    fmc1:/Volume/home/admin# troubleshoot_HADC.pl
    ****************  Troubleshooting Utility  **************
 
 1   Show HA Info Of FMC
 2   Execute Sybase DBPing
 3   Show Arbiter Status
 4   Check Peer Connectivity
 5   Print Messages of AQ Task
 6   Show FMC HA Operations History (ASC order)
 7   Dump To File: FMC HA Operations History (ASC order)
 8   Last Successful Periodic Sync Time (When it completed)
 9   Print HA Status Messages
 10  Compare active and standby device list
 11  Check manager status of standby missing devices
 12  Check critical PM processes details
 13   Help
 0   Exit
 
**************************************************************
    fmc1:/Volume/home/admin# troubleshoot_HADC.pl
**************** Troubleshooting Utility **************
1 Show HA Info Of FMC
    2 Execute Sybase DBPing
    3 Show Arbiter Status
    4 Check Peer Connectivity
    5 Print Messages of AQ Task
    6 Show FMC HA Operations History (ASC order)
    7 Dump To File: FMC HA Operations History (ASC order)
    8 Help
    0 Exit
**************************************************************

    Weitere Informationen finden Sie unter Überprüfen des FirePOWER-Modus, der Instanz, der Hochverfügbarkeit und der Skalierbarkeitskonfiguration.

    Fehlerbehebung

    Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    29-Apr-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Jose Trinidad Gomez Delgado
      Cisco Security Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.