Configuración de las mejoras de Serviciabilidad del clúster en Firewall Management Center 7.4

Opciones de descarga

  • PDF     (1.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.1 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (925.6 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:22 de julio de 2024
ID del documento:222100

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo puede utilizar las mejoras en la facilidad de mantenimiento en FMC 7.4

    Qué hay de nuevo

    • Diagnóstico del vínculo de control de clústeres (CCL) y asistencia para garantizar que la configuración es correcta.
    • Las CLI de la línea de clústeres ahora se pueden ver en el Centro de administración de firewalls (FMC).
    • Generación de problemas
      • Ahora se puede generar todo a la vez para todos los dispositivos de un clúster.
      • La generación de problemas es automática si un nodo no puede unirse a un clúster.
      • Solucione los problemas de generación y navegación desde la ficha Dispositivos > Clúster/Dispositivo.

    Prerrequisitos, Plataformas Soportadas, Licencias

    Plataformas mínimas de software y hardware

    Aplicación y versión mínima

    Dispositivos gestionados 

    Versión mínima de dispositivos administrados admitidos requerida 

    Notas

    Firewall seguro 7.4

    Todos los que admiten la agrupación en clústeres en FTD

    Solo la mejora de la "generación de problemas" requiere que la versión del FTD sea 7.4 o superior

    · FMC en las instalaciones + FMC API REST

    · FMC en la nube

    Se trata de una función de FMC, por lo que la configuración se puede aplicar a cualquier dispositivo que FMC 7.4 pueda gestionar.

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco Firewall Management Center (FMC) con 7.4 
    • Cisco Firepower Threat Defence (FTD) con 7.4 o superior.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Diagnóstico de enlace de CCL

    Advertencia de MTU de Interfaz de Link de Control de Cluster en la Página de Resumen de Cluster

    Problema

    • La agrupación en clústeres requiere una MTU más alta para el link de control de clúster que las interfaces de datos.
    • A menudo no establece la MTU en un valor suficientemente alto, lo que causa problemas de confiabilidad.
    • La recomendación es que la MTU de CCL debe ser 100 o 154 bytes más que la MTU máxima de la interfaz de datos, según la plataforma, para sincronizar el estado del clúster en los nodos.

    MTU de CCL = (MTU máxima de interfaz de datos) + 100 |154 

    Por ejemplo, para un dispositivo FTDv, si 1700 bytes es la MTU máxima de la interfaz de datos, el valor de la MTU de la interfaz CCL se configuraría como 1854:
    1854 = 1700 + 154

    Recomendaciones de tamaño de MTU por plataforma

    Platform

    Muestra de MTU de interfaz de datos máxima

    Agregar

    Configuración recomendada total para MTU para el enlace CCL

    Sec. FW serie 3100

    1700

    100

    1800

    FTDv

    1700

    154

    1854

    Solución

    • Cuando se crea un clúster, el valor de MTU para el enlace CCL se establece automáticamente en el valor recomendado en la interfaz.
      Haga que la configuración del lado del switch coincida con este valor.
    • Ejemplo de mensaje de advertencia:
      La agrupación en clústeres requiere una MTU superior para el vínculo de control de clúster. La MTU máxima de la interfaz de datos actual es de 1500 bytes; la MTU recomendada del link de control del clúster es de 1654 bytes o más. Antes de continuar, asegúrese de que los switches conectados coincidan con las MTU para las interfaces de datos y el link de control del clúster; de lo contrario, la formación del clúster fallará.
    • Si la configuración del lado del switch para la interfaz CCL no coincide con este valor, el dispositivo no puede unirse al clúster. 

    Banner de advertencia de agregar clúster

    Prueba de ping de CCL en estado activo del clúster

    Comprobar la conectividad CCL

    • Necesidad de aprovisionamiento de usuario para verificar la conectividad de CCL con el tamaño del paquete de MTU de CCL

    Solución

    comando ping de CCL

    Tamaños de MTU de CCL añadidos para la nube pública

    Valores de MTU de clúster de AWS y Azure

    Hay nuevos valores de MTU de interfaz de datos y CCL recomendados para clústeres FTDv de nube pública 7.4.

    MTU CCL recomendada en 7.3

    Recomendado 

    MTU de CCL en 7.4

    MTU de interfaz de datos recomendada en 7.3

    Recomendado 

    MTU de interfaz de datos en 7.4

    clúster NLB de Azure

    1554

    1454

    1400

    1300

    clúster GWLB de Azure

    1554

    1454

    1454

    1374

    clúster AWS GWLB

    1960

    1980

    1806

    1826

    FMC actualiza la MTU de la interfaz de datos y CCL a los valores recomendados después de actualizar un clúster a la versión 7.4.

    CLI disponibles en FMC

    Mensaje de línea de dispositivo CLI disponible en la ficha Dispositivo/clúster

    Ejecutar CLI de línea de clúster desde FMC

    • Ahora es posible ejecutar CLI de resolución de problemas de LINA del clúster desde FMC.

    opción CLI

    CLI utilizadas habitualmente mostradas de forma predeterminada

    CLI predefinidas

    CLI de clúster predefinidas

    • Las CLI que se ejecutan de forma predeterminada son:

                   show running-config cluster

                   show cluster info

                   show cluster info health

                   show cluster info transport cp

                   show version

                   show asp drop

                   show counters

                   show arp

                   show int ip brief

                   show blocks

                   show cpu detailed

                   show interface <ccl_interface>

                   ping <ccl_ip> size <ccl_mtu> repeat 2

    Entrada manual de comandos disponibles

    Comandos CLI

    Generación de Troubleshooting

    Generación automática de problemas al fallar la unión del nodo

    • Cuando un nodo no puede unirse al clúster, se genera automáticamente la resolución de problemas del dispositivo.
    • Se muestra una notificación en el Administrador de tareas.

    Falla de nodo de clúster

    Solucionar problemas de los botones Desencadenador y Descargar disponibles en las fichas Dispositivo y Clúster

    Generación más sencilla de problemas de clúster

    Registros y descargas agregados

    Generación de Troubleshooting de Cluster

    Elegir dispositivos

    Generación de solución de problemas de nodos (dispositivos)

    Haga clic en Registros o Descargar

    Notificación de generación de resolución de problemas de clúster completada

    El Administrador de tareas muestra el progreso de la generación de solución de problemas para cada nodo del clúster. Espere hasta que haga clic en Descargar.

    Notificaciones de tareas

    Preguntas y respuestas

    P: En Azure, ¿se redujo pero aumentó en AWS para MTU?

    R: Para los nuevos valores de MTU en las nubes públicas, en Azure la MTU recomendada se reduce, pero aumenta en AWS.


    P: Durante la actualización, si la MTU se cambia automáticamente, ¿hay una entrada de Syslog?

    R: No, no hay ninguna entrada de Syslog realizada en este momento. Si es necesario, podemos volver a examinarlo.


    P: ¿Dónde se muestra el valor de MTU de cada nodo?

    R: Muestre el valor de MTU como una columna en la página Device Management > Interfaces, en la pestaña cluster.


    P: ¿Se muestra este error porque el switch no está configurado o el otro nodo no está configurado?

    R: No, es un mensaje de advertencia como precaución que se muestra todo el tiempo al usuario.


    P: ¿Qué comando - show cluster - muestra el tamaño de MTU?

    R: El ping de CCL se encuentra en el valor predeterminado y se muestra en los valores predeterminados de CLI.

    P: En el caso de AWS, ¿podemos documentar los pasos sobre cómo aumentar la MTU en el switch?

    R: Para que los pubs tecnológicos lo comprueben.

    P: Para hardware, solo ha enumerado la serie 3100, ¿qué hay de 4K/9K/2K/1K?

    R: Agrupación en clústeres en 9300, 4100, 3100 y solo virtual. 3100 se puede realizar desde FMC, pero 4100 y 9300 clústeres se realizan en el administrador de chasis, no en FMC.


    P.: ¿Tiene que realizar la implementación desde el FMC para que los cambios surtan efecto, después de la actualización del dispositivo?

    R.: Sí, debe implementarse después de la actualización. Debe utilizar los valores de MTU recomendados.


    P.: ¿Se envía algún mensaje de advertencia al usuario de que se ha cambiado la MTU, como si el FTD fuera el centro de la ruta en la que se ha creado el túnel GRE? ¿Vería el usuario el túnel inestable o se ha caído?

    R: Está en la documentación. Puede trabajar en un mensaje de advertencia. Los nodos se ajustarían al nodo de control. El switch tendría que ajustarse a los nuevos valores. El valor cambia después de actualizar el nodo de control. El valor de MTU se envía por control.


    P: ¿Reiniciaremos el dispositivo FTD si, después de la actualización, cambiamos la MTU?

    R: No se activa un reinicio explícito en el FTD durante la actualización cuando se cambian los valores de MTU.

    Historial de revisión

    Revisión: Fecha de publicación Comentarios
    2.0
    17 de julio de 2024
    Texto alternativo agregado. Formato actualizado.
    1.0
    17 de julio de 2024
    Versión inicial

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    22-Jul-2024
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Surabhi Srivastava
      Ingeniero del TAC de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos