Comprar o Renovar
Comprar o Renovar
PRÓXIMAMENTE: Los release notes de Umbrella y Secure Access llegarán aquí. Estaremos en modo lectura del 16 al 19 de agosto. Más información.
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Crear un nuevo artículo
829
Visitas
0
ÚTIL
0
Comentarios

Doc - Config y Troubleshooting Alta Disponibilidad en Cisco Secure Firewall

Cisco Moderador
Community Manager
Community Manager

el ‎01-10-2024 10:39 PM - fecha de última edición ‎01-11-2024 10:51 PM por Community Manager

Presentación del webinar Community Live

Con la colaboración de Oscar Montoya y Benjamín Cabrera.
Aprenda de la manos de nuestros expertos a configurar y resolver problemas comunes de Alta Disponibilidad o High Availability (HA) para Cisco Secure Firewall.

Cisco Secure Firewall mantiene su red segura, pero como todo sistema de seguridad requiere de su propia resistencia para mantener un servicio constante. Es por ello que los modos Clúster y de Alta Disponibilidad (HA) son fundamentales para lograr dicha persistencia. En esta sesión se explica cómo configurar y resolver problemas relacionados con estos dos modos. (Duración: 2 hrs)

 

Descargue la Presentación Ver el Vidéo

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias! 

¿Cómo enviar una pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión
 

Lista de las Q&A del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas (Q&A)

Pregunta: Por favor, ¿podrían brindar mayor detalle sobre las diferencias del sistema cluster vs high availability failover? - Eder S. (min.7)

Respuesta (César L. Z.): Lo vamos a estar revisando a detalle en el transcurso de la presentación Eder pero en resumen, failover es un arreglo con un solo firewall activo recibiendo el tráfico y otro en standby mientras que en cluster, todas las unidades reciben tráfico distribuido entre ellas.

Respuesta (Benjamín C.): Unsupported Features in Transparent Mode https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/740/management-center-device-config-74/device-ops-tfw.html 

Pregunta: ¿Para HA es indistinto si los FW están en modo routed o transparent? - Wilber J. (min.17)

Respuesta (César L. Z.): Es correcto Wilber. La mayoría de la configuración va a ser la misma sin importar el modo con excepción de algunos parámetros más avanzados específicos de cada uno de estos modos.

Pregunta: ¿Qué MAC utiliza la unidad standby, si la activa falla abruptamente y no logran hacer un failover ordenado? ¿La unidad standby tiene en su memoria las MAC de la unidad active? - Andrés C. (min.17)

Respuesta (César L. Z.): El standby va a tener su propia MAC address que se negocia cuando se configura failover. Por defecto, se usarán las MAC originales de los módulos pero puede cambiar esto con la configuración de virtual MAC para asignar una MAC en específico a cada unidad. Cuando el standby tiene que ir a active, entonces usará la MAC del activo. Benjamín mostrará un diagrama con esto en unos momentos.

Pregunta: ¿Se pueden configurar MAC estáticas en la configuración del FailOver? - Oscar (min.18)

Respuesta (César L. Z.): Sí se pueden configurar gracias a la funcionalidad de failover virtual MAC y como lo menciona Benjamín en la grabación, es incluso recomendable configurar estas direcciones estáticamente. También en la misma grabación Benjamín muestra como hacerlo.

Pregunta: ¿Cuándo se lleva a cabo un failover debe ser transparente, o lleva un tiempo aproximado y se siente la falla en la red? - Marco T. (min.21)

Respuesta (César L. Z.): Si el failover es manual, esto debería de ser transparente para las conexiones que están siendo compartidas entre las unidades. Sin embargo, si una unidad falla, dependerá de los timeouts configurados para que se detecte la falta de la otra unidad (o de alguna de sus interfaces) para que la unidad standby tome control.

Pregunta: En el equipo ISA 3000, ¿se puede trabajar como HA o como cluster ? - Mike G. (min.26)

Respuesta (César L. Z.): Los modelos ISA 3000 soportan Failover pero cluster aún no está soportado.

Pregunta: Buen día; ¿el failover se puede configurar con equipos en distintas regiones geográficas? - Erika L. (min.26)

Respuesta (César L. Z.): Buen día Erika. Es posible mientras puedas establecer una conexión de capa 2 entre las unidades. Esto se puede lograr con varias tecnologías como OTV (Overlay Transport Virtualization), entre otras.

Pregunta: ¿Puedo usar el puerto de management como puerto de control? - Roberto O. (min.34)

Respuesta (César L. Z.): En caso de FTD, la management no puede ser utilizada para comunicación de failover ni de cluster.

Pregunta: ¿Sería prudente en la configuración de MAC virtuales, asignar las MAC propias de los FTD? Es decir, configurar como Active Mac Address la MAC de la unidad primaria y como Standby Mac Address la MAC de la unidad secundaria. ¿O podría ser contraindicado esto? - Andrés C. (min.37)

Respuesta (César L. Z.): Hola Andrés. Sería más recomendable utilizar otra MAC para cuestiones de administración. Si por alguna razón, necesitas reemplazar alguno de los equipos, se quedaría una MAC address que ya no existe en ese ambiente.

Pregunta: ¿Qué precaución debería tomar antes de ejecutar "configure high availability suspend"? En ese caso, ¿el tráfico se mantiene en la unidad active independientemente de si es la primaria o la secundaria? - Andrés C. (min.52)

Respuesta (César L. Z.): La unidad activa va a mantener el tráfico y la standby se mantendrá con las MAC addresses de standby para que no cause ningún problema. Se recomienda solo que no se vaya a mandar ningún tipo de deployment en el transcurso del tiempo en el que el failover esté en este modo.

Pregunta: Estimado, en caso se tenga que reemplazar un FTD primary, ¿cuál es el procedimiento para agregar el nuevo FTD al HA? - Eder S. (min.58)

Respuesta (César L. Z.): En resumen, se rompe el HA dejando la unidad que se va a reemplazar como standby, se elimina esa unidad del FMC, se registra la nueva al FMC y se vuelve a formar el HA. El procedimiento está explicado en este doc que fue publicado por uno de nuestros compañeros de equipo si gustan una versión en español den en el botón de feedback para que lo podamos solicitar https://www.cisco.com/c/en/us/support/docs/security/secure-firewall-threat-defense/221097-replace-faulty-unit-in-secure-firewall-t.html 

Pregunta: ¿Es recomendable usar los cluster en modo transparent? ¿Cuáles serían sus desventajas? - Josué A. (min.94)

Respuesta (César L. Z.): Hola que tal Josué. Puedes usar clustering en modo transparente. Es muy parecido el proceso. La únicas limitantes son las mismas que si tienes un FW en transparente en modo standalone o failover. La otra limitante es que si usas NAT, no puedes utilizar las IPs de las interfaces BVI, pero sí puedes usar cualquier otra IP en la misma subnet

Respuesta (Benjamín C.): Hola Josué. Todo depende de las necesidades de tu red. Un FW en transparente se puede introducir en tu red sin alterar tu actual redireccionamiento IP. Aunque bien hay features que no están soportadas en FWs transparentes.

Pregunta: Buenas tardes, tengo una consulta, en un cliente tengo 2 FTD en HA, pero en el arreglo aparece Master-pasivo, Standby-activo. ¿No debería decir: Master-activo y Standby-pasivo? - Yurden (min.105)

Respuesta (César L. Z.): Hola que tal Yurden! Cuando configuras por primera vez los equipos, se asigna un primary y un secondary. Inicialmente el primary queda como activo y el secondary como standby. Sin embargo, si hay algún evento de failover, el secondary puede quedar como activo. Estos roles son intercambiables.

Pregunta: ¿La consola FMC es vital para el HA y el cluster? - gbirruetas (min.109)

Respuesta (César L. Z.): Esta pregunta fue respondida en vivo al final de la sesión.

Pregunta: En el esquema HA (failover) ¿no hay esquema activo-activo? Al ser así ¿se considera cluster? - gbirruetas (min.110)

Respuesta (César L. Z.): Esta pregunta fue respondida en vivo al final de la sesión.

Pregunta: Para implementar HA, ¿los equipos deben estar en un mismo sitio (Data Center) o pueden estar en Data Center separados geográficamente? - Vicente Z. (min.114)

Respuesta (César L. Z.): Esta pregunta fue respondida en vivo al final de la sesión.

Pregunta: Para que el master esté activo ¿tendría que reiniciar el standby? - Yurden (min.114)

Respuesta (César L. Z.): Esta pregunta fue respondida en vivo al final de la sesión.

Pregunta del Chat: Tengo en un cliente dos FMCs en HA, pero tenemos problema en que la configuración como NTP, snmp, radius no replica. Solo se queda en el FMc activo. - Luis R. (min.110)

Respuesta (César L. Z.): La funcionalidad de HA en FMC solamente replica configuración de los dispositivos administrados y no replica protocolos o configuración referente al mismo FMC. En esta liga se pueden encontrar los elementos replicables: https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/admin/710/management-center-admin-71/system-ha.html#id_52483 

Nuestros expertos

osmontoy.jpgOscar Montoya egresó de la Facultad de Ingeniería de la Universidad Nacional Autónoma de México (UNAM) de la carrera de Ingeniería en Telecomunicaciones. Se unió a Cisco en 2019 al equipo de Security Firewall como Ingeniero Consultor Técnico (TCE). Actualmente ocupa el cargo de Capitán del Equipo de Seguridad y continúa apoyando a los clientes y al equipo, impartiendo cursos así como asesorando escalamientos. Asimismo, Oscar participó en Cisco Live en el Technical Solutions Center (TSC), ha publicado documentación oficial en Cisco.com y colaborado en diversos proyectos.

becabrer.jpgBenjamín Cabrera es egresado del Instituto Politécnico Nacional (IPN) de México en Ingeniería en Comunicaciones y Electrónica. Se unió a Cisco en 2017 a través del programa CX Academy. Se especializó en Cisco Secure Firewall Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD), resolviendo problemas técnicos para los clientes y apoyando internamente al equipo. Luego de tres años se unió al equipo de Solution Support, donde actualmente es Ingeniero de Escalamiento para la tecnología Secure Firewall. Durante este tiempo Benjamín ha participado en diferentes programas de creación de contenidos y formación técnica para miembros en los centros para América.

Próximos Eventos Eventos Anteriores
Para obtener más información, visite los contenidos de la sección de Seguridad
Si usted tiene dudas o está experimentando problemas técnicos con alguno de los productos Cisco, publique su pregunta, solicite información o utilice el motor de búsqueda de la Comunidad de Cisco en español, antes de abrir un caso con el TAC.
Etiquetas:
Vista previa de archivo
3897 KB
0 Útil
Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

Navegue y encuentre contenido personalizado de la comunidad

Videos de Seguridad Blogs de Seguridad Otros Eventos de Seguridad
Customers Also Viewed These Support Documents