تكوين التجميع على أجهزة سلسلة FirePOWER 7000 و 8000 من Cisco
المحتويات
المقدمة
توفر ميزة تجميع الأجهزة تكرار وظائف التكوين والشبكات بين جهازين أو مكدسين. تصف هذه المقالة كيفية تكوين التجميع على أجهزة السلسلة FirePOWER 7000 و 8000 من Cisco.
المتطلبات الأساسية
قبل أن تحاول إنشاء نظام مجموعة، يجب أن تكون على دراية بمختلف سمات المجموعات. توصيك Cisco بقراءة قسم جهاز التجميع في دليل مستخدم نظام FireSIGHT للحصول على مزيد من المعلومات.
المتطلبات
يجب أن يحتوي كلا الجهازين على المكونات المطابقة التالية:
- طرز الأجهزة نفسها
- وحدات الشبكة نفسها (NetMod) في نفس الفتحات بالضبط
-
نفس التراخيص ويجب أن تكون متماثلة تماما. إذا كان أحد الأجهزة يحتوي على ترخيص إضافي، فلا يمكن تكوين نظام المجموعة.
-
نفس إصدارات البرامج
-
نفس إصدارات VDB
-
نفس نهج NAT (في حالة تكوينه)
المكونات المستخدمة
- إثنان من Cisco Firepower 7010 على الإصدار 5.4.0.4
- FireSIGHT Management Center 5.4.1.3
التكوين
إضافة مجموعة
1. انتقل إلى الجهاز > إدارة الأجهزة.
2. حدد الأجهزة التي ترغب في تجميعها. في أعلى يمين الصفحة، حدد القائمة إضافة المنسدلة.
3. حدد إضافة مجموعة.
4. تظهر النافذة المنبثقة إضافة نظام مجموعة. سترى الشاشة التالية. توفير عناوين IP للأجهزة النشطة وأجهزة النسخ الاحتياطي.
5. انقر فوق الزر نظام المجموعة. إذا تم استيفاء كافة المتطلبات الأساسية، فسترى نافذة إضافة حالة نظام المجموعة لمدة تصل إلى 10 دقائق.
6. بمجرد إنشاء نظام المجموعة بنجاح، ستجد الأجهزة المحدثة في صفحة إدارة الأجهزة.
7. يمكنك تبديل النظير النشط في نظام مجموعة بالنقر فوق السهم الدوار بجانب أيقونة القلم الرصاص.
كسر عنقود
يمكنك فك تجمع بالنقر على خيار فك تجميع بجانب أيقونة سلة المحذوفات.
بعد النقر فوق رمز سلة المحذوفات، سيطلب منك إزالة تكوين الواجهة من جهاز النسخ الاحتياطي. حدد نعم أو لا.
يمكنك أيضا حذف نظام مجموعة وإلغاء تسجيل الأجهزة من مركز الإدارة بالنقر فوق سلة المحذوفات.
إذا فقد جهازك الوصول إلى "مركز الإدارة"، فيمكنك فك التجميع باستخدام الأمر التالي على CLI (واجهة سطر الأوامر):
> configure clustering disable
مشاركة الدولة
تسمح مشاركة الحالة المجمعة للأجهزة المجمعة أو المكدسات المجمعة بمزامنة الحالات، بحيث في حالة فشل أحد الأجهزة أو المكدس، يمكن للنظير الآخر القيام بذلك دون انقطاع أثناء تدفق حركة المرور.
لتمكين مشاركة الدولة على رابط HA، اتبع الخطوات التالية:
1. انتقل إلى الأجهزة > إدارة الأجهزة. حدد نظام المجموعة وقم بتحريره.
2. حدد علامة التبويب الواجهات.
3. حدد الرابط الذي تريد أن يكون كارتباط HA.
4. انقر فوق تحرير (أيقونة القلم الرصاص). تظهر نافذة تحرير واجهة.
5. بعد تمكين الارتباط وتكوين الخيارات الأخرى، انقر فوق حفظ.
6. انتقل الآن إلى علامة التبويب نظام المجموعة. سترى قسما يسمى مشاركة الحالة في القسم الأيمن من الصفحة.
7. انقر على أيقونة القلم الرصاص لتحرير خيارات مشاركة الحالة.
8. تأكد من تحديد خيار تمكين.
9. بشكل إختياري، يمكنك تغيير العمر الافتراضي للتدفق والفترة الزمنية للمزامنة والحد الأقصى لطول عنوان URL ل HTTP.
تم تمكين مشاركة الحالة الآن. يمكنك التحقق من إحصائيات حركة المرور بالنقر على أيقونة العدسة المكبرة بجانب الإحصائيات. سترى إحصائيات حركة مرور البيانات لكلا الجهازين كما هو موضح أدناه.
عندما يتم تمكين مشاركة الحالة وتنخفض واجهة على العضو النشط، يتم نقل جميع إتصالات TCP إلى الجهاز الاحتياطي الذي أصبح نشطا الآن.
استكشاف الأخطاء وإصلاحها
لم يتم تكوين الجهاز بشكل صحيح
إذا لم يتم استيفاء أحد المتطلبات الأساسية، تظهر رسالة الخطأ التالية:
في مركز الإدارة، انتقل إلى الأجهزة > إدارة الأجهزة، وتحقق مما إذا كان لكلا الجهازين نفس إصدارات البرامج ونماذج الأجهزة والتراخيص والسياسات.
بدلا من ذلك، على جهاز ما، يمكنك تشغيل الأمر التالي للتحقق من سياسة التحكم في الوصول وإصدار الأجهزة والبرامج المطبق:
> show summary
-----------------[ Device ]-----------------
Model : Virtual Device 64bit (69) Version 5.4.0.4 (Build 55)
UUID : 4dfa9fca-30f4-11e5-9eb3-b150a60d4996
VDB version : 252
----------------------------------------------------
------------------[ policy info ]-------------------
Access Control Policy : Default Access Control
Intrusion Policy : Initial Inline Policy
.
.
.
Output Truncated
.
للتحقق من سياسة NAT، قم بتشغيل الأمر التالي على الجهاز:
> show nat config
يجب أن يكون لدى جميع أعضاء الهيئة سياسات محدثة
قد تواجه خطأ آخر وهو التالي
يحدث هذا الخطأ عندما تكون نهج التحكم في الوصول غير محدثة. أعد تطبيق السياسات وأعد محاولة تكوين نظام المجموعة.
التعليقات