CISCO MFC中部署Firepower FTD高可用（HA）---By 年糕泰迪

注：設備版本6.2.3 ，MFC 和 FTD都爲KVM。

在FTD部署HA以前，首先須要將2臺設備註冊到MFC中，註冊前須要確保2臺FTD的全部硬件及軟件資源一致，包括接口數量，另外不能部署***，最好是2臺徹底同樣的空配置設備，開機後只須要根據嚮導配置管理IP信息和註冊到MFC便可，不要配置其餘任何策略，在此前提下開始部署HA。
部署拓撲

如下截圖是在部署HA時其中一臺設備已經配置過一些接口信息已經NAT策略，因此在部署的時候會提示mismatch，即便刪除了FTD中的全部配置也沒有用，由於，由於MFC部署到FTD中的NAT是沒有辦法刪除的，即便在FTD中也不行，這是官方說的，須要部署其餘NAT策略來覆蓋。你說扯不扯淡？！WFT!說句實話cisco的這一套firepower真的很垃圾很垃圾（基於當前這個版本而已），照抄Check Point的架構模式，還炒得一塌糊塗，操做性，可識別性，複雜度，響應速度，，，沒有一個地方值得點評的，並且還有不少反人類的設計，bug也是一大推，但人家臉大沒辦法。

接下來在設備都註冊到MFC後開始部署HA,全部操做都在MFC中進行，以下截圖，開始添加設備，

開始添加設備，給HA命名隨意方便管理便可，下面的device type 有2個選項，咱們選擇Firepower Threat Defense ，另外一個時Firepower，這個是針對Cisco 7000/8000系列的firepower硬件設備的。再接下來選擇須要組成HA的主備設備，從咱們已經註冊到MFC中的設備選擇便可，選擇完畢後continue。

接下來就是配置HA的對等體參數了，看到這個配置參數是否是很熟悉，沒錯他和ASA的failover配置徹底同樣。
只不過ASA的state link能夠用failover link 複用，這裏必須是2條鏈路獨立開，其餘徹底一致。IPSec encryption 其實就是對等體兩邊用來創建聯繫和通訊的識別密鑰，ASA9.0之後的版本也有這個，就是HA通訊時基於 IPsec加密的，只是一種加密通訊方式，和8.x版本的key時一個東西，區別在於後者不加密。等一系列配置完畢後，最好點擊 Add 後就開始坐等HA的構建了。
PS:failover的IP最好是使用保留的local link 地址段 168.254.0.0/16

看到一下彈窗消息那麼恭喜，HA構建完畢。

而後MFC會自動將HA配置策略部署到設備中去，接下來又是分鐘級別的等待。

很不幸，Cisco又玩了咱們一把，HA策略部署失敗。咱們來看看失敗在哪兒了，打開報錯詳細日誌，發現FMC下發的策略和ASA的failover級別一模一樣，這個玩意真是東拼西湊。

下面是具體的troubleshooting detail log ，順着log往下看最下面是error 信息，說沒有配置failover IP，沒法創建tunnel,這不是睜眼說瞎話麼。。你說這個錯誤出的是否是很反人類？！
Refer to the following troubleshooting information when contacting Cisco TAC.
Lina messages
FMC >> failover lan unit primary
FMC >> strong-encryption-disable
FMC >> no dns domain-lookup diagnostic
FMC >> timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
FMC >> no user-identity default-domain LOCAL
FTD192.168.70.211 >> info : INFO: Default-domain change will not impact existing configurations.
FMC >> interface GigabitEthernet0/5
FMC >> description LAN Failover Interface
FMC >> no shutdown
FMC >> exit
FMC >> interface GigabitEthernet0/6
FMC >> description STATE Failover Interface
FMC >> no shutdown
FMC >> exit
FMC >> dns domain-lookup diagnostic
FMC >> failover lan interface folink GigabitEthernet0/5
FTD192.168.70.211 >> info : INFO: Non-failover interface config is cleared on GigabitEthernet0/5 and its sub-interfaces
FMC >> failover interface ip folink 169.254.1.1 255.255.255.252 standby 169.254.1.2
FTD192.168.70.211 >> info : ERROR: Failed to apply IP address to interface GigabitEthernet0/5, as the network overlaps with interface Internal-Data0/1. Two interfaces cannot be in the same subnet.
FMC >> failover link stlink GigabitEthernet0/6
FTD192.168.70.211 >> info : INFO: Non-failover interface config is cleared on GigabitEthernet0/6 and its sub-interfaces
FMC >> failover interface ip stlink 169.254.3.1 255.255.255.252 standby 169.254.3.2
FMC >> failover replication http
FMC >> monitor-interface diagnostic
FMC >> failover ipsec pre-shared-key **
FTD192.168.70.211 >> error : ERROR: Could not establish tunnel without configuring Failover ip address
Other logs

Lina configuration application failure log: Rollback APP was successful.

官方找了大半天也沒有說明，官方文檔歷來都是一次部署到位，歷來不會有問題，望文生義，既然tunnel不能創建，那在創建HA過程當中和tunnel相關的也就只有哪一個IPSec encryption 參數了，因此刪除已經配置的HA策略，從新創建，而且不啓用IPSec encryption 參數，此次就順利建立成功了，並且策略推送也成功。
最後就是正常部署階段，後面再記錄其餘部署內容。
注意：HA模式下不支持組播，並且像TLS和SSL在HA切換以後，session會終端須要從新創建鏈接。