CISCO MFC中部署Firepower FTD高可用（HA）---By 年糕泰迪

注：设备版本6.2.3 ，MFC 和 FTD都为KVM。

在FTD部署HA以前，首先须要将2台设备注册到MFC中，注册前须要确保2台FTD的全部硬件及软件资源一致，包括接口数量，另外不能部署***，最好是2台彻底同样的空配置设备，开机后只须要根据向导配置管理IP信息和注册到MFC便可，不要配置其余任何策略，在此前提下开始部署HA。
部署拓扑

如下截图是在部署HA时其中一台设备已经配置过一些接口信息已经NAT策略，因此在部署的时候会提示mismatch，即便删除了FTD中的全部配置也没有用，由于，由于MFC部署到FTD中的NAT是没有办法删除的，即便在FTD中也不行，这是官方说的，须要部署其余NAT策略来覆盖。你说扯不扯淡？！WFT!说句实话cisco的这一套firepower真的很垃圾很垃圾（基于当前这个版本而已），照抄Check Point的架构模式，还炒得一塌糊涂，操做性，可识别性，复杂度，响应速度，，，没有一个地方值得点评的，并且还有不少反人类的设计，bug也是一大推，但人家脸大没办法。

接下来在设备都注册到MFC后开始部署HA,全部操做都在MFC中进行，以下截图，开始添加设备，

开始添加设备，给HA命名随意方便管理便可，下面的device type 有2个选项，咱们选择Firepower Threat Defense ，另外一个时Firepower，这个是针对Cisco 7000/8000系列的firepower硬件设备的。再接下来选择须要组成HA的主备设备，从咱们已经注册到MFC中的设备选择便可，选择完毕后continue。

接下来就是配置HA的对等体参数了，看到这个配置参数是否是很熟悉，没错他和ASA的failover配置彻底同样。
只不过ASA的state link能够用failover link 复用，这里必须是2条链路独立开，其余彻底一致。IPSec encryption 其实就是对等体两边用来创建联系和通讯的识别密钥，ASA9.0之后的版本也有这个，就是HA通讯时基于 IPsec加密的，只是一种加密通讯方式，和8.x版本的key时一个东西，区别在于后者不加密。等一系列配置完毕后，最好点击 Add 后就开始坐等HA的构建了。
PS:failover的IP最好是使用保留的local link 地址段 168.254.0.0/16

看到一下弹窗消息那么恭喜，HA构建完毕。

而后MFC会自动将HA配置策略部署到设备中去，接下来又是分钟级别的等待。

很不幸，Cisco又玩了咱们一把，HA策略部署失败。咱们来看看失败在哪儿了，打开报错详细日志，发现FMC下发的策略和ASA的failover级别一模一样，这个玩意真是东拼西凑。

下面是具体的troubleshooting detail log ，顺着log往下看最下面是error 信息，说没有配置failover IP，没法创建tunnel,这不是睁眼说瞎话么。。你说这个错误出的是否是很反人类？！
Refer to the following troubleshooting information when contacting Cisco TAC.
Lina messages
FMC >> failover lan unit primary
FMC >> strong-encryption-disable
FMC >> no dns domain-lookup diagnostic
FMC >> timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
FMC >> no user-identity default-domain LOCAL
FTD192.168.70.211 >> info : INFO: Default-domain change will not impact existing configurations.
FMC >> interface GigabitEthernet0/5
FMC >> description LAN Failover Interface
FMC >> no shutdown
FMC >> exit
FMC >> interface GigabitEthernet0/6
FMC >> description STATE Failover Interface
FMC >> no shutdown
FMC >> exit
FMC >> dns domain-lookup diagnostic
FMC >> failover lan interface folink GigabitEthernet0/5
FTD192.168.70.211 >> info : INFO: Non-failover interface config is cleared on GigabitEthernet0/5 and its sub-interfaces
FMC >> failover interface ip folink 169.254.1.1 255.255.255.252 standby 169.254.1.2
FTD192.168.70.211 >> info : ERROR: Failed to apply IP address to interface GigabitEthernet0/5, as the network overlaps with interface Internal-Data0/1. Two interfaces cannot be in the same subnet.
FMC >> failover link stlink GigabitEthernet0/6
FTD192.168.70.211 >> info : INFO: Non-failover interface config is cleared on GigabitEthernet0/6 and its sub-interfaces
FMC >> failover interface ip stlink 169.254.3.1 255.255.255.252 standby 169.254.3.2
FMC >> failover replication http
FMC >> monitor-interface diagnostic
FMC >> failover ipsec pre-shared-key **
FTD192.168.70.211 >> error : ERROR: Could not establish tunnel without configuring Failover ip address
Other logs

Lina configuration application failure log: Rollback APP was successful.

官方找了大半天也没有说明，官方文档历来都是一次部署到位，历来不会有问题，望文生义，既然tunnel不能创建，那在创建HA过程当中和tunnel相关的也就只有哪一个IPSec encryption 参数了，因此删除已经配置的HA策略，从新创建，而且不启用IPSec encryption 参数，此次就顺利建立成功了，并且策略推送也成功。
最后就是正常部署阶段，后面再记录其余部署内容。
注意：HA模式下不支持组播，并且像TLS和SSL在HA切换以后，session会终端须要从新创建链接。