Introduzione
Il clustering dei dispositivi fornisce ridondanza della configurazione e delle funzionalità di rete tra due dispositivi o stack. In questo articolo viene descritto come configurare il clustering sui dispositivi Cisco Firepower serie 7000 e 8000.
Prerequisiti
Prima di tentare di stabilire un cluster, è necessario avere familiarità con le varie funzionalità del clustering. Cisco consiglia di leggere la sezione Clustering Device del manuale FireSIGHT System User Guide per ulteriori informazioni.
Requisiti
Entrambi i dispositivi devono avere i seguenti componenti identici:
- Stessi modelli hardware
Nota: Impossibile configurare uno stack e un singolo dispositivo in un cluster. Devono essere in uno stack dello stesso tipo o di due dispositivi singoli simili.
- Stessi moduli di rete (Netmod) negli stessi slot
Nota: Le netmod di stack non vengono prese in considerazione quando vengono controllati i prerequisiti del cluster. Sono considerati uguali a uno slot vuoto.
-
Stesse licenze e devono essere esattamente le stesse. Se un dispositivo dispone di una licenza aggiuntiva, non è possibile formare il cluster.
-
Stesse versioni software
-
Stesse versioni VDB
-
Stessi criteri NAT (se configurati)
Componenti usati
- Due Cisco Firepower 7010 nella versione 5.4.0.4
- FireSIGHT Management Center 5.4.1.3
Nota: le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Aggiunta di un cluster
1. Selezionare Device > Device Management.
2. Selezionare i dispositivi da raggruppare. Nella parte superiore destra della pagina, selezionare l'elenco a discesa Aggiungi.
3. Selezionare Aggiungi cluster.
![](/c/dam/en/us/support/docs/security/firesight-management-center/200316-Configuration-of-Clustering-on-Cisco-Fir-00.png)
4. Viene visualizzata la finestra popup Aggiungi cluster. Verrà visualizzata la seguente schermata. Specificare gli indirizzi IP dei dispositivi attivi e di backup.
![](/c/dam/en/us/support/docs/security/firesight-management-center/200316-Configuration-of-Clustering-on-Cisco-Fir-01.png)
5. Fare clic sul pulsante Cluster. Se vengono soddisfatti tutti i prerequisiti, verrà visualizzata la finestra di stato Aggiunta cluster per un massimo di 10 minuti.
![](/c/dam/en/us/support/docs/security/firesight-management-center/200316-Configuration-of-Clustering-on-Cisco-Fir-02.png)
6. Una volta creato il cluster, le periferiche aggiornate saranno disponibili nella pagina Gestione periferiche.
![](/c/dam/en/us/support/docs/security/firesight-management-center/200316-Configuration-of-Clustering-on-Cisco-Fir-03.png)
7. È possibile cambiare il peer attivo in un cluster facendo clic sulla freccia di rotazione accanto all'icona a forma di matita.
![](/c/dam/en/us/support/docs/security/firesight-management-center/200316-Configuration-of-Clustering-on-Cisco-Fir-04.png)
Interruzione di un cluster
È possibile interrompere un cluster facendo clic sull'opzione Interrompi cluster accanto all'icona Cestino.
![](/c/dam/en/us/support/docs/security/firesight-management-center/200316-Configuration-of-Clustering-on-Cisco-Fir-05.png)
Dopo aver fatto clic sull'icona del Cestino, verrà richiesto di rimuovere la configurazione dell'interfaccia dal dispositivo di backup. Selezionare Sì o No.
![](/c/dam/en/us/support/docs/security/firesight-management-center/200316-Configuration-of-Clustering-on-Cisco-Fir-06.png)
È inoltre possibile eliminare un cluster e annullare la registrazione dei dispositivi dal centro di gestione facendo clic sul Cestino.
Se il dispositivo ha perso l'accesso al Management Center, è possibile interrompere il clustering utilizzando il seguente comando della CLI:
> configure clustering disable
Condivisione dello stato
La condivisione dello stato in cluster consente ai dispositivi o agli stack in cluster di sincronizzare gli stati, in modo che se uno dei dispositivi o degli stack si guasta, l'altro peer può subentrare senza alcuna interruzione nel flusso del traffico.
Nota: Prima di configurare la condivisione dello stato cluster, è necessario configurare e abilitare le interfacce di collegamento ad alta disponibilità (HA, High Availability) su entrambi i dispositivi o sui dispositivi principali in stack del cluster.
Attenzione: L'attivazione della condivisione dello stato rallenta le prestazioni del sistema.
Per abilitare la condivisione dello stato su un collegamento HA, eseguire la procedura seguente:
1. Passare a Dispositivi > Gestione dispositivi. Selezionare il cluster e modificarlo.
2. Selezionare la scheda Interfacce.
3. Selezionare il collegamento che si desidera impostare come collegamento HA.
4. Fare clic su modifica (icona matita). Viene visualizzata la finestra Modifica interfaccia.
![](/c/dam/en/us/support/docs/security/firesight-management-center/200316-Configuration-of-Clustering-on-Cisco-Fir-07.png)
5. Dopo aver abilitato il collegamento e configurato le altre opzioni, fare clic su Salva.
6. Passare alla scheda Cluster. Nella sezione destra della pagina verrà visualizzata una sezione denominata Condivisione di stati.
![](/c/dam/en/us/support/docs/security/firesight-management-center/200316-Configuration-of-Clustering-on-Cisco-Fir-08.png)
7. Fare clic sull'icona della matita per modificare le opzioni di condivisione dello stato.
8. Assicurarsi che l'opzione Abilitato sia selezionata.
9. Facoltativamente, è possibile modificare Durata flusso, Intervallo sincronizzazione e Lunghezza massima URL HTTP.
Condivisione dello stato attivata. È possibile controllare le statistiche del traffico facendo clic sull'icona della lente di ingrandimento accanto a Statistiche. Verranno visualizzate le statistiche del traffico per entrambi i dispositivi come mostrato di seguito.
![](/c/dam/en/us/support/docs/security/firesight-management-center/200316-Configuration-of-Clustering-on-Cisco-Fir-09.png)
Quando la condivisione dello stato è abilitata e un'interfaccia sul membro Attivo non è attiva, tutte le connessioni TCP vengono trasferite al dispositivo di standby che è diventato Attivo.
Risoluzione dei problemi
Dispositivo non configurato correttamente
Se uno dei prerequisiti non viene soddisfatto, viene visualizzato il seguente messaggio di errore:
![](/c/dam/en/us/support/docs/security/firesight-management-center/200316-Configuration-of-Clustering-on-Cisco-Fir-10.png)
In Management Center passare a Dispositivi > Gestione dispositivi e verificare se entrambi i dispositivi dispongono delle stesse versioni software, modelli hardware, licenze e policy.
In alternativa, su un dispositivo è possibile eseguire il comando seguente per verificare il criterio di controllo dell'accesso applicato e la versione hardware e software:
> show summary
-----------------[ Device ]-----------------
Model : Virtual Device 64bit (69) Version 5.4.0.4 (Build 55)
UUID : 4dfa9fca-30f4-11e5-9eb3-b150a60d4996
VDB version : 252
----------------------------------------------------
------------------[ policy info ]-------------------
Access Control Policy : Default Access Control
Intrusion Policy : Initial Inline Policy
.
.
.
Output Truncated
.
Per verificare il criterio NAT, eseguire il comando seguente sul dispositivo:
> show nat config
Nota: Le licenze possono essere controllate solo nel Management Center, in quanto sono archiviate solo nel Management Center.
Tutti i membri HA devono avere criteri aggiornati
Di seguito è riportato un altro possibile errore
![](/c/dam/en/us/support/docs/security/firesight-management-center/200316-Configuration-of-Clustering-on-Cisco-Fir-11.png)
Questo errore si verifica quando i criteri di controllo di accesso non sono aggiornati. Riapplicare i criteri e ripetere il tentativo di configurazione del cluster.
Documenti correlati