Cisco firepower 2140 run ASA and config failover

已于 2025-02-09 11:28:18 修改
阅读量751 收藏 3
点赞数 2
CC 4.0 BY-SA版权
文章标签: cisco ASA cisco firepower ASA failover双机
于 2024-03-22 11:16:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/funnycoffee123/article/details/136935385
本文详细介绍了如何在两台CiscoFirepower2140防火墙上部署ASA,配置端口聚合(port-channel)以实现双机组高可用(HA),并设置管理口IP以及ASA的双机热备(Failover)配置过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1 背景

在这里插入图片描述here we got 2 cisco firepower 2140 hardware appliance
we’re planning to run ASA on it. and config failover for Primary Unit and Secondary Unit
现场2台Cisco firepower 2140防火墙, 运行ASA模式, 双机组HA,心跳线使用E1/11, E1/12, 配置port-channel

先看看FPR2140物理外观长啥样?

在这里插入图片描述

左上角的是 管理口
左下角是console
然后就是数据接口了,12个千兆电口,4个万兆SFP+,另外最右侧还有个扩展卡,可以插万兆的SFP+子卡。
在这里插入图片描述

** 话说怎么管理FPR2140 ?

FPR2140面板 左上角的那个电口就是管理口,而FDM和里面跑的ASA的管理都是复用这一个管理接口
而FPR4000系列就有所不同,FXOS的管理是面板上的,ASA的管理是需要使用另外的接口。

那么这2个管理IP有啥要求?
这2个IP必须是在同一网段。

怎么设置管理口IP

以管理IP为10.248.1.211/24 ,网关为10.248.1.254为例

firepower-2110# scope system
firepower-2110 /system # scope services
firepower-2110 /system/services # disable dhcp-server
firepower-2110 /system/services* # commit-buffer

firepower-2110# scope fabric-interconnect a
firepower-2110 /fabric-interconnect # 
firepower-2110 /fabric-interconnect # set out-of-band static ip 10.248.1.211 netmask 255.255.255.0 10.248.1.254
Warning: When committed, this change may disconnect the current CLI session
firepower-2110 /fabric-interconnect # commit-buffer

配置完成后,查看生效的管理IP

firepower-2140 /fabric-interconnect # show

Fire Power:
    ID   OOB IP Addr     OOB Netmask     OOB Gateway     OOB IPv6 Address Prefix OOB IPv6 Gateway Operability
    ---- --------------- --------------- --------------- ---------------- ------ ---------------- -----------
    A    10.248.1.211   255.255.255.0    10.248.1.254   ::               64     ::               Operable
firepower-2140 /fabric-interconnect #

配置完成后,就可以网页 https://10.248.1.211打开GUI界面了

2 配置步骤

2.1创建互联的port-channel

FPR2100系列在ASA里面可创建不了port-channel,ASA上根本没这命令,奇葩吧
需要在FPR2100的FDM管理页面上创建 (FDM全称: Firepower Device Manager, 即firepower自带的管理平台)
长这个样子
在这里插入图片描述

2.1.1 interfaces —> Add Portchannel
在这里插入图片描述

2.1.2 指定ID及接口
在这里插入图片描述

另一台FPR2140也同样操作配置port-channel

2.2 进入ASA

firepower-2140# conn asa 
Attaching to ASA CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
FW-2140-1/pri/act#

2.3 查看port-channel接口

FW-2140-1/pri/act# show int ip brief
Interface                  IP-Address      OK?
最低0.47元/天 解锁文章

200万优质内容无限畅学
funnycoffee123
关注
Cisco firepower2100系列使用FDM管理FTD
funnycoffee123的博客
02-08 1053
Cisco firepower2100系列使用FDM管理FTD。
遇到了问题,Firepower 2140配置带外IP时报错 commit-buffer failed
funnycoffee123的博客
03-20 629
默认情况下,Firepower 2100 在设备模式下运行。此过程告诉您如何将模式更改为平台模式,以及如何将其更改回设备模式(可选)。当您更改模式时,配置将被清除,您需要重新加载系统。重新加载时将应用默认配置。经过查询发现,需要进入ASA里面打上以下这条命令,并重启ASA。为便于理解,下面附上中文翻译。
Firepower2100运行ASA软件License管理说明.docx
07-14
能都掌握Firepower2100运行ASA软件License管理说明 Firepower2100运行ASA软件的License管理说明 Firepower2100平台设备采用了Smart License的许可管理方式,与传统的PAK方式的License不同。申请Smart License的方法,请见本文的附录说明。 如果Firepower2100设备运行了FTD软件,Smart License的激活需要通过FMC来完成。 如果Firepower2100设备运行了ASA软件,Smart License的激活需要通过ASA的CLI或ASDM来完成。 下面描述了Firepower2100设备运行ASA软件时,激活3DES许可的步骤。
思科(Cisco ASA/Firepower)、华三(H3C)、华为(Huawei USG)防火墙 的基础配置
qq_23930765的博客
05-12 1610
隐式划分逻辑区域,接口的安全级别决定流量方向(高到低默认允许,低到高需配置ACL)。display nat outbound # 查看NAT规则。display nat-policy # 查看NAT策略。display ip routing-table # 查看路由表。确保NAT规则的应用方向(inbound/outbound)正确。华三通过显式定义安全区域(Zone),并将接口加入区域。验证NAT规则是否生效(查看转换后的地址)。
IE-LAB网络实验室:简单了解Cisco ASA Failover技术
aglaia89的博客
07-11 446
Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,需要两台完全一样的设备,通过一个连接,连接到对方(这个连接也叫心跳线)。该技术用到的两台设备分为 主用和备用,备用处于待机状态。当主用设备故障后,备用设备可启用,并设置为主用,运行自主用设备复制过来的配置(配置是跟随主用设备移动的)。 Failover配置要求两个进行Failover的设备通过专用的fail...
cisco failover 概念
weixin_33831196的博客
05-31 550
cisco failover 概念 Failovercisco防火墙提供的一种故障切换技术,当防火墙出现故障时,它允许另一台防火墙迅速取代它在网络中的位置,对网络进行保护并进行数据流量的转发,并且,这种故障切换机制可以被设置为基于状态的故障切换,可以保证当备用设备接管流量时,TCP连接不会中断。 在配置和实施Failover时,需要两...
Cisco ASA failover config
funnycoffee123的博客
10-18 582
本次2台cisco Firepower 4110运行ASA镜像 配置failover 主墙配置如下: interface Port-channel10 description FailoverLink ! interface Port-channel10.1 description LAN Failover Interface vlan 101 ! interface Port-channel10.2 description STATE Failover Interface vlan 102 !
Cisco Firepower 下一代防火墙
weixin_34405925的博客
11-19 1036
Cisco Firepower 下一代防火墙 (NGFW)具有统一管理功能完全集成、专注于威胁防御的一下代防火墙 。它包括应用可视性与可控制(AVC)、可选的Firepower下一代IPS(NGIPS)、思科高级恶意软件保护(AMP)和URL过滤。Cisco FireSIGHT NGIPS 解决方案的功能:实时情景感知:查看和关联以下与 IT 环境相关的大量事件数据 - ...
Cisco Firepower 3100 Firewall initialization & config OOB mgmt ip & software upgrading
funnycoffee123的博客
03-24 784
End User License Agreement, 这没啥说的,只能同意,就一直敲空格翻到最后,再按下回车表示 accept即可。(会翻一大堆,看的眼花)如果在第1次初始化时没有设置MGMT IP, 可以通过命令进行配置。当前FTD版本为7.1.0 ,需要升级到7.2.5。缺省用户名admin 密码Admin123。按提示, step by step进行配置即可。在设备第1次加电后,会进入初始化向导。即升级包上传完成后,立即自动升级。提示需要接受EULA。
思科防火墙升级包cisco-asa-fp2k.9.16.2.SPA
03-27
思科防火墙升级包cisco-asa-fp2k.9.16.2.SPA
2024,了解云原生技术栈收藏这一篇就够了(附学习笔记)
2301_79054215的博客
04-26 814
本人现在工作中负责云原生服务管理平台的研发(主要管理各类云原生基础设施,平台服务和第三方托管应用),但即便如此,常被问起云原生是什么时,我也很难简洁的向人表述清楚,导致自我也经常问一遍,云原生究竟是什么,我又在做什么。
CISCO FirepowerFTD NAT简单配置
09-21
原创,CISCO FTD NAT配置案例,大家共同学习进步。转载请注明楚楚。
CISCO ASA FIREPOWER下一代防火墙介绍
01-31
CISCO ASA FIREPOWER下一代防火墙介绍,渠道培训ppt,比较落地 的材料。
Cisco 实现failover配置
weixin_34176694的博客
01-15 880
ASA5520作为内外网安全设备及互联网出口,现网还有一台ASA5520也放置于出口,但 两台设备没有形成HA,并没有配置failover。出于提升网络安全性和冗余的考虑,现 对设备进行failover配置。 整个配置过程内容如下: 前提条件 要实现failover,两 台设备需要满足以下的一些条件: 1.相同的设备型号和硬件配置:设备模块、接口类型,接口数量,CP...
2024年Linux最全防火墙:配置高可用HA_cisco asa failover配置,2024年最新2024大厂Linux运维面试集合
2301_78416732的博客
05-03 639
2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?7、Tomcat和Resin有什么区别,工作中你怎么选择?7、Tomcat和Resin有什么区别,工作中你怎么选择?3、现在给你三百台服务器,你怎么对他们进行管理?
FPR2100安装ASA镜像
最新发布
剪刀石头布
05-18 268
本文详细介绍了在思科FPR2100设备上安装ASA镜像的步骤。首先,准备工作包括配置管理IP地址并验证FTP或TFTP的可达性,以及准备好ASA镜像文件。操作过程分为三个主要步骤:1)配置设备管理地址,通过命令行设置IPv4网络配置并测试连通性;2)上传镜像,使用FTP协议从指定服务器下载镜像文件,并通过命令检查下载状态;3)安装镜像,通过自动安装功能选择并安装指定版本的软件包,并监控安装进度。整个过程需要多次验证和确认,确保每一步操作正确无误。
防火墙Failover小实验
weixin_44901204的博客
07-09 644
功能 实现边界安全、区域防护 区域设计 Trust(内部) Untrust(外部,Internet) DMZ(非军事化区域) 用于隔壁服务器 从inside到outside允许,即从高安全级别到低安全级别允许 从outside到inside禁止,低到高禁止 相同级别禁止 Failover Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,当主设备宕机时,备...
ASA防火墙之failover的介绍及配置
Stephen_jj的博客
05-11 7461
failover的介绍及配置 本篇讲一下ASA防火墙的另外一种冗余的技术,failover,字面意思是失效转移,也就是当设备出现故障时,能够在数秒内将配置转换到另外一台设备中,是一种设备级的冗余技术。 failover的工作原理 两台设备型号一样(型号、内存、接口等),通过一条链路连接到对端(这个连接也叫心跳线)。该技术用到的两台设备分为Active设备(Primary)和Stanby设备(Secondary),这种冗余也可以叫AS模式。活跃机器处于在线工作状态,备用处于待机状态实时监控活跃设备是否正常。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值