注:设备版本6.2.3 ,MFC 和 FTD都为KVM。

在FTD部署HA之前,首先需要将2台设备注册到MFC中,注册前需要确保2台FTD的所有硬件及软件资源一致,包括接口数量,另外不能部署***,最好是2台完全一样的空配置设备,开机后只需要根据向导配置管理IP信息和注册到MFC即可,不要配置其他任何策略,在此前提下开始部署HA。
部署拓扑

以下截图是在部署HA时其中一台设备已经配置过一些接口信息已经NAT策略,所以在部署的时候会提示mismatch,即使删除了FTD中的所有配置也没有用,因为,因为MFC部署到FTD中的NAT是没有办法删除的,即使在FTD中也不行,这是官方说的,需要部署其他NAT策略来覆盖。你说扯不扯淡?!WFT!说句实话cisco的这一套firepower真的很垃圾很垃圾(基于当前这个版本而已),照抄Check Point的架构模式,还炒得一塌糊涂,操作性,可识别性,复杂度,响应速度,,,没有一个地方值得点评的,而且还有很多反人类的设计,bug也是一大推,但人家脸大没办法。

接下来在设备都注册到MFC后开始部署HA,所有操作都在MFC中进行,如下截图,开始添加设备,

开始添加设备,给HA命名随意方便管理即可,下面的device type 有2个选项,我们选择Firepower Threat Defense ,另一个时Firepower,这个是针对Cisco 7000/8000系列的firepower硬件设备的。再接下来选择需要组成HA的主备设备,从我们已经注册到MFC中的设备选择即可,选择完毕后continue。

接下来就是配置HA的对等体参数了,看到这个配置参数是不是很熟悉,没错他和ASA的failover配置完全一样。
IPSec encryption 其实就是对等体两边用来建立联系和通信的识别密钥,ASA9.0以后的版本也有这个,就是HA通信时基于 IPsec加密的,只是一种加密通信方式,和8.x版本的key时一个东西,区别在于后者不加密。等一系列配置完毕后,最好点击 Add 后就开始坐等HA的构建了。
PS:failover的IP最好是使用保留的local link 地址段 168.254.0.0/16

看到一下弹窗消息那么恭喜,HA构建完毕。

然后MFC会自动将HA配置策略部署到设备中去,接下来又是分钟级别的等待。

很不幸,Cisco又玩了我们一把,HA策略部署失败。我们来看看失败在哪儿了,打开报错详细日志,发现FMC下发的策略和ASA的failover级别如出一辙,这个玩意真是东拼西凑。

下面是具体的troubleshooting detail log ,顺着log往下看最下面是error 信息,说没有配置failover IP,无法建立tunnel,这不是睁眼说瞎话么。。你说这个错误出的是不是很反人类?!
Refer to the following troubleshooting information when contacting Cisco TAC.
Lina messages
FMC >> failover lan unit primary
FMC >> strong-encryption-disable
FMC >> no dns domain-lookup diagnostic
FMC >> timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
FMC >> no user-identity default-domain LOCAL
FTD192.168.70.211 >> info : INFO: Default-domain change will not impact existing configurations.
FMC >> interface GigabitEthernet0/5
FMC >> description LAN Failover Interface
FMC >> no shutdown
FMC >> exit
FMC >> interface GigabitEthernet0/6
FMC >> description STATE Failover Interface
FMC >> no shutdown
FMC >> exit
FMC >> dns domain-lookup diagnostic
FMC >> failover lan interface folink GigabitEthernet0/5
FTD192.168.70.211 >> info : INFO: Non-failover interface config is cleared on GigabitEthernet0/5 and its sub-interfaces
FMC >> failover interface ip folink 169.254.1.1 255.255.255.252 standby 169.254.1.2
FTD192.168.70.211 >> info : ERROR: Failed to apply IP address to interface GigabitEthernet0/5, as the network overlaps with interface Internal-Data0/1. Two interfaces cannot be in the same subnet.
FMC >> failover link stlink GigabitEthernet0/6
FTD192.168.70.211 >> info : INFO: Non-failover interface config is cleared on GigabitEthernet0/6 and its sub-interfaces
FMC >> failover interface ip stlink 169.254.3.1 255.255.255.252 standby 169.254.3.2
FMC >> failover replication http
FMC >> monitor-interface diagnostic
FMC >> failover ipsec pre-shared-key **
FTD192.168.70.211 >> error : ERROR: Could not establish tunnel without configuring Failover ip address
Other logs

Lina configuration application failure log: Rollback APP was successful.

官方找了大半天也没有说明,官方文档从来都是一次部署到位,从来不会有问题,望文生义,既然tunnel不能建立,那在建立HA过程中和tunnel相关的也就只有哪个IPSec encryption 参数了,所以删除已经配置的HA策略,重新建立,并且不启用IPSec encryption 参数,这次就顺利创建成功了,而且策略推送也成功。
最后就是正常部署阶段,后面再记录其他部署内容。
注意:HA模式下不支持组播,而且像TLS和SSL在HA切换之后,session会终端需要重新建立连接。

CISCO MFC中部署Firepower FTD高可用(HA)---By 年糕泰迪相关推荐

  1. docker 如何加入kubernetes_使用 Kind 在 5 分钟内快速部署一个 Kubernetes 高可用集群...

    什么是 Kind Kind(Kubernetes in Docker) 是一个Kubernetes孵化项目,Kind是一套开箱即用的Kubernetes环境搭建方案.顾名思义,就是将Kubernete ...

  2. 服务部署如何做到高可用?这份“三级跳”秘籍送给你

    作者 | 勿忘我 来源 | 公众号:"京东云" 本文从部署的角度介绍了高可用服务所需具备的规范,案例部分通过对 Yum 源服务架构的演变让读者更好的理解高可用服务部署. 一个高可用 ...

  3. 部署Ceph分布式高可用集群中篇

    前言 如何快速部署Ceph分布式高可用集群 Ceph分布式存储底层实现原理 上文介绍了ceph的原理以及ceph的部署(部署了一个mon角色)本文继续介绍下ceph的部署 部署OSD 查看磁盘使用情况 ...

  4. Centos 7 部署 OpenStack_Rocky版高可用集群3-1

    Centos 7 部署 OpenStack_Rocky版高可用集群3-1 文章目录 Centos 7 部署 OpenStack_Rocky版高可用集群3-1 1.前期准备 1.1 软硬件准备 1.1. ...

  5. Redis 集群搭建(三):Docker 部署 Redis + Sentinel 高可用集群

    Redis 集群搭建(三):Docker 部署 Redis + Sentinel 高可用集群 前言 建议 官方译文 什么是 Sentinel? Sentinel 优点 Redis 配置文件 maste ...

  6. k8s 手动恢复redis 集群_二进制手动部署k8s-1.14高可用集群(二、集群部署)

    1. CA证书(任意节点) 1.1 安装cfssl cfssl是非常好用的CA工具,我们用它来生成证书和秘钥文件 安装过程比较简单,如下: # 下载 $ mkdir -p ~/bin $ wget h ...

  7. corosync+pacemaker实现高可用(HA)集群(二)

    部署方案二(推荐):corosync+pacemaker 利用ansible自动安装corosync和pacemaker 注:关于ansible的具体使用可参见"ansible实现自动化自动 ...

  8. Hadoo集群--高可用HA配置(两台主机)

    目录 1 Hadoop HA架构详解 1.1 HDFS HA背景 1.2 HDFS HA架构 1.3 HDFS HA配置要素 1.4 HDFS HA配置参数 1.5 HDFS自动故障转移 1.6 YA ...

  9. sqlite c++插入 timestamp_Dqlite,基于sqlite 高可用(HA)数据库

    原文发表于我的博客, 特此版权声明 noosphere.site: Dqlite,基于sqlite 高可用(HA)数据库 csdn : Dqlite,基于sqlite 高可用(HA)数据库 k3s之前 ...

最新文章

  1. Vue - 表单
  2. Valgrind 快速入门
  3. 搜索引擎anti-spam系统设计指南
  4. 使用ActiveMQ和HornetQ通过WebSocket通过STOMP轻松进行消息传递
  5. 正则表达式的非捕获性分组
  6. Keras过拟合相关解决办法
  7. 1227: [SDOI2009]虔诚的墓主人
  8. 如何开发一款高大上的android应用的必备知识
  9. wap1.x和wap2.0的区别
  10. SPSS安装过程中无法创建Java虚拟机的解决方法
  11. abbyyfinereader文字识别软件编辑Pdf教程序列号教程
  12. html 四个字与两个字,2014好听的两个字和四个字的qq网名大全精选
  13. 使用qemu模拟X86处理器加载linux kernel+busybox文件系统并调试
  14. 2021江西省数学建模A题
  15. xxl-job——docker
  16. python菜鸟教程 | print功能
  17. Ubuntu20详细安装步骤
  18. Excel如何快速提取图片地址位置?
  19. Mongo聚合函数使用Sort排序时内存不足导致查询失败,开启allowDiskUse=true
  20. 如何修改Hosts文件(Windows、Linux)

热门文章

  1. 最齐全的Cocos2D Cocos creator Cocos2Dx游戏源代码素材,速来收藏
  2. 微信之父Allen张小龙演讲全文:如何把产品做简单
  3. Vuforia的学习(一)---Vuforia的介绍
  4. 微信视频号怎么涨粉?我总结了5条经验_
  5. 《尽在双11——阿里巴巴技术演进与超越》全书精华摘录
  6. 计算机职称落户,人才引进落户等6类落户方式 新政策全部在这里
  7. 【零基础学Python】爬虫篇 :第十四节--爬虫+词云解决实际问题
  8. Spring Cloud 系列之 Alibaba Nacos 注册中心(一)
  9. Windows Server 2012 NIC Teaming 网卡绑定介绍及注意事项
  10. 征信报告产生“不良记录”的主要原因?