Cisco Firepower Threat Defense 簡稱 Cisco FTD

Cisco Firepower Threat Defense Virtual 簡稱 Cisco FTDv

FirePOWER 與 Firepower：

FirePOWER 表示 Cisco 收購的以前的 Sourcefire 產品，比如 ASA-5500-X 上 的 FirePOWER 服務，

Firepower 是指收購后發布的的硬體和軟體，包括 Firepower 硬體設備和 Firepower Threat Defense（FTD）軟體，

Firepower 硬體運行 FXOS（Firepower eXtensible Operating System）和 FTD 軟體，

FDM、FTD CLI 和 FMC

FDM：Firepower Device Management，Firepower 內置 Web 界面管理工具，在 4100 和 9300 系列硬體上 Web 界面叫做 Firepower Chassis Manager，
FTD CLI：Firepower Threat Defense Command Line，系統內置的命令列，也就是 shell，
FMC：Firepower Management Center，防火墻管理中心，集中管理工具，Web 界面，可以是物理設備或者虛機，

Firepower 系統基于 Linux kernel，

Cisco Fire Linux OS v6.7.0 (build 62)
Cisco Firepower Threat Defense for VMWare v6.7.0 (build 65)

show version
-----------------[ ftdv.sysin.org ]-----------------
Model : Cisco Firepower Threat Defense for VMWare (75) Version 6.7.0 (Build 65)
UUID : 04f149c2-b88a-11eb-b23f-b33c620f26d7
VDB version : 338

expert
admin@ftdv:~$ uname -a
Linux ftdv.sysin.org 4.18.45-yocto-standard #1 SMP Wed Oct 21 20:56:12 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux
admin@ftdv:~$

1. Firepower 高可用性和擴展簡介

高可用性（故障轉移）

配置高可用性（也稱為故障轉移）需要兩個相同的 Firepower 威脅防御設備通過專用的故障轉移鏈路以及狀態鏈路相互連接， Firepower 威脅防御支持主動/備用故障轉移，其中一個單元是活動單元并通過流量，備用單元不會主動傳遞流量，但會同步活動單元的配置和其他狀態資訊，發生故障轉移時，活動單元將故障轉移到備用單元，然后備用單元變為活動狀態，

群集

Firepower 群集，可以將多個設備組成一個邏輯單元，介面通過 EtherChannels (或者稱為 port channels) 實作擴展，群集僅適用于 Firepower 4100/9300 Chassis，詳見官方檔案，

本文描述 High Availability 配置程序，細節可以參看以下官方檔案（英文），

High Availability for Firepower Threat Defense

Configure FTD High Availability on Firepower Appliances
2. 創建 HA 的條件

總結：相同的硬體型號和軟體配置（軟體版本和許可相同，不支持有 DHCP 和 PPPoE 的介面配置），不同的主機名

Are the same model.
Same version (this applies to FXOS and to FTD - (major (first number), minor (second number), and maintenance (third number) must be equal))
Have the same number and type of interfaces.
Are in the same domain and group.
Have normal health status and are running the same software.
Are either in routed or transparent mode.
Have the same NTP configuration. See Configure NTP Time Synchronization for Threat Defense.
Are fully deployed with no uncommitted changes.
Do not have DHCP or PPPoE configured in any of their interfaces.
Different hostname (Fully Qualified Domain Name (FQDN)) for both chassis.

3. 網線連接

指定一個介面作為 Failover Link，可選指定一個介面作為 Stateful Failover Link（可以共用 Failover Link 介面），兩臺相同介面網線直連，

提示：應該使用相同的介面號，比如兩臺設備都使用 GigabitEthernet0/6 作為 Failover Link，

4. 配置程序

通過 FDM 配置：

確保兩個介面主機名不同

Device > System Setting > Hostname

指定 HA 介面

本例分別使用 GigabitEthernet0/6 和 GigabitEthernet0/7

分別在兩個節點啟用介面（Device > Interfaces）

啟用 HA

主節點：

Deivce > High Availability，CONFIGURATION

選擇 Primary Device

選擇 Failover Link 介面為 GigabitEthernet0/6

IPv4 Primary IP: 192.168.10.1，Secondary IP: 192.168.10.2，Netmask: 255.255.255.0 (IP 僅用于節點間通信，與物理環境 IP 不沖突即可)

選擇 Stateful Failover Link 介面為 GigabitEthernet0/7

IPv4 Primary IP: 192.168.11.1，Secondary IP: 192.168.11.2，Netmask: 255.255.255.0 (IP 僅用于節點間通信，與物理環境 IP 不沖突即可)

IPSec Encryption Key (可選配置) ，這里是新設備尚未配置，忽略

點擊 ”Activate HA“，提示配置已經復制到剪貼板

FAILOVER LINK CONFIGURATION

Interface: GigabitEthernet0/6
Primary IP: 192.168.10.1/255.255.255.0
Secondary IP: 192.168.10.2/255.255.255.0

STATEFUL FAILOVER LINK CONFIGURATION

Interface: GigabitEthernet0/7
Primary IP: 192.168.11.1/255.255.255.0
Secondary IP: 192.168.11.2/255.255.255.0

備節點

Deivce > High Availability，CONFIGURATION

選擇 Secondary Device，點擊 ”PASTE FROM CLIPBOARD“，粘貼上述配置，將自動選擇介面和填充 IP，點擊”Activate HA“

配置完成后，High Availability 頁面出現設備狀態：

Primary Device.

Current Device Mode: Active Peer: Syncing

Secondary Device Current Device Mode: Standby Peer: Active

此時在 Secondary Device 上操作，會退出登錄，出現 Server busy 畫面，稍后重新登錄，提示如下：

This device is part of a high availability (HA) pair and is currently in standby state. With few exceptions, you cannot edit the configuration for this device.
To make any changes, please log into the active unit. Learn More

5. 查看 HA 狀態

   FDM

Devices > Device Management

FTD CLI

show high-availability config

show failover state

#主設備

show running-config failover
failover
failover lan unit primary
failover lan interface failover-link GigabitEthernet0/6
failover replication http
failover link stateful-failover-link GigabitEthernet0/7
failover interface ip failover-link 192.168.10.1 255.255.255.0 standby 192.168.10.2
failover interface ip stateful-failover-link 192.168.11.1 255.255.255.0 standby 192.168.11.2

#備設備

show running-config failover
failover
failover lan unit secondary
failover lan interface failover-link GigabitEthernet0/6
failover replication http
failover link stateful-failover-link GigabitEthernet0/7
failover interface ip failover-link 192.168.10.1 255.255.255.0 standby 192.168.10.2
failover interface ip stateful-failover-link 192.168.11.1 255.255.255.0 standby 192.168.11.2

6. 切換 Failover

   FDM

Device > High Availability，點擊右側的齒輪圖示，Switch Mode

FTD CLI

failover
active Make this system to be the active unit of the failover pair
exec Execute command on the designated unit
reload-standby Force standby unit to reboot
reset Force a unit or failover group to an unfailed state

切換主備

failover reset