Firepower Management Center 고가용성 정보
운영 연속성을 보장하기 위해 고가용성 기능을 사용하면 이중 Firepower Management Center를 지정하고 디바이스를 관리할 수 있습니다. Firepower Management Center는 한 개의 어플라이언스가 액티브 유닛으로 디바이스를 관리하는 Active/Standby(액티브/스탠바이) 고가용성을 지원합니다. 스탠바이 유닛은 디바이스를 활동적으로 관리하지 않습니다. 액티브 유닛은 구성 데이터를 데이터 저장소로 기록하고 두 유닛 모두에 대해 데이터를 복제하며 필요한 경우 동기화를 사용하여 스탠바이 유닛과 정보를 공유합니다.
Active/Standby(액티브/스탠바이) 고가용성을 사용하면 보조 Firepower Management Center을 구성하고 장애가 발생한 경우 기본 Firepower Management Center의 기능을 대체합니다. 기본 Firepower Management Center에 장애가 발생하는 경우 보조 Firepower Management Center을 승격하여 액티브 유닛으로 만들 수 있습니다.
이벤트 데이터는 매니지드 디바이스에서 고가용성 쌍에 있는 Firepower Management Center 모두로 흐릅니다. 한 Firepower Management Center가 실패하면 다른 Firepower Management Center를 사용하여 중단 없이 네트워크를 모니터링할 수 있습니다.
참고로 고가용성 쌍으로 구성된 Firepower Management Center는 신뢰할 수 있는 동일한 관리 네트워크에 있어야 할 필요가 없으며 동일한 지리적 위치에 있어야 할 필요도 없습니다.
경고 |
시스템이 일부 기능을 기본 Firepower Management Center로 제한하므로 해당 어플라이언스가 실패하면 스탠바이 Firepower Management Center를 액티브로 승격해야 합니다. |
원격 액세스 VPN 고가용성에 대한 정보
기본 디바이스에 Remote Access(원격 액세스) VPN 구성과 CertEnrollment 개체로 등록한 ID 인증서가 있는 경우, 보조 디바이스에 동일한 CertEnrollment 개체로 등록한 ID 인증서가 있어야 합니다. CertEnrollment 개체는 디바이스별 재정의로 인해 기본 및 보조 디바이스에 대해 서로 다른 값을 가질 수 있습니다. 고가용성 형성 하기 전에 두 개의 디바이스를 등록 하는 동일한 CertEnrollment 개체에만 개로 제한이 됩니다.
Firepower Management Center 고가용성의 역할 및 상태 비교
기본/보조 역할
Firepower Management Center의 고가용성 쌍을 설정할 때 한 Firepower Management Center를 기본, 다른 하나를 보조로 구성합니다. 컨피그레이션 중에는 기본 유닛의 정책이 보조 유닛에 동기화됩니다. 동기화가 끝나면 기본 Firepower Management Center은 액티브 피어가 되고 보조 Firepower Management Center는 보조 피어로 두 유닛이 매니지드 디바이스 및 정책 설정에 단일 어플라이언스로 작동합니다.
액티브/스탠바이 상태
고가용성 쌍에서 두 Firepower Management Center의 가장 큰 차이는 액티브 및 스탠바이 피어와 관련이 있습니다. 액티브 Firepower Management Center는 모든 기능을 사용할 수 있으며 디바이스와 정책을 관리할 수 있습니다. 스탠바이 Firepower Management Center는 기능이 숨겨져 있으며 설정 변경을 할 수 없습니다.
Firepower Management Center 고가용성 쌍의 이벤트 처리
고가용성 쌍의 두 Firepower Management Center가 관리된 디바이스에서 이벤트를 수신하므로 어플라이언스용 관리 IP 주소를 공유하지 않습니다. 즉 Firepower Management Center에 오류가 발생하는 경우 이벤트를 지속적으로 처리하기 위해 개입할 필요가 없습니다.
AMP 클라우드 연결 및 악성코드 정보
이들은 파일 정책 및 관련 컨피그레이션을 공유하지만 고가용성 쌍의 Firepower Management Center과 Cisco AMP Cloud 연결과 악성코드 성향을 공유하지 않습니다. 운영 연속성을 보장하고 탐지된 파일의 악성코드 속성이 두 Firepower Management Center및 기본과 보조 Firepower Management Center에 동일하려면 AMP 클라우드에 대한 액세스 권한이 있어야 합니다.
URL 필터링 및 보안 인텔리전스
URL 필터링과 보안 인텔리전스의 설정 및 정보는 고가용성 구축에서 Firepower Management Center 간에 동기화됩니다. 그러나 기본 Firepower Management Center만 URL 카테고리 및 평판 데이터 그리고 보안 인텔리전스 피드에 대한 업데이트를 다운로드합니다.
기본 Firepower Management Center에 장에가 발생하면 위협 인텔리전스 데이터 업데이트를 위해 보조 Firepower Management Center가 인터넷에 액세스할 수 있는지 확인하고 보조 Firepower Management Center의 웹 인터페이스를 사용해 액티브로 전환합니다.
Firepower Management Center 페일오버 중에 사용자 데이터 처리
기본 Firepower Management Center에 장애가 발생하면 보조 Firepower Management Center가 TS Agent 소스. ID 소스로 아직 확인되지 않은 사용자는 알 수 없음으로 식별됩니다.
다운타임이 끝나면 ID 정책의 규칙에 따라 알 수 없는 사용자가 다시 식별되고 처리됩니다.
Firepower Management Center 고가용성 쌍의 구성 관리
고가용성 구축에서 액티브 Firepower Management Center만 디바이스를 관리하고 정책을 적용할 수 있습니다. 두 Firepower Management Center 모두 지속적인 동기화 상태를 유지합니다.
액티브 Firepower Management Center에 오류가 발생하는 경우 고가용성 쌍은 사용자가 수동으로 스탠바이 어플라이언스를 액티브 상태로 승격할 때까지 저하 상태에 돌입합니다. 승격이 완료되면 어플라이언스는 유지 관리 모드 상태가 됩니다.
Cisco Threat Intelligence Director(TID) 및 고가용성 구성
고사용성 구성인 액티브 Firepower Management Center에서 TID을 호스팅하는 경우, 시스템은 TID 설정과 TID 데이터를 스탠바이 Firepower Management Center에 동기화하지 않습니다. 페일오버 후 데이터를 복구할 수 있도록 액티브 Firepower Management Center에서 정기적인 TID 데이터 백업을 수행하는 것을 권장합니다.
자세한 내용은 TID 데이터 백업 및 복구 정보를 참조하십시오.
SSO 및 고가용성 쌍
FMC고가용성 설정의 FMC는 SSO(Single Sign-On, 단일 인증)를 지원할 수 있지만, 다음 사항을 고려해야 합니다.
-
SSO 설정은 고가용성 쌍의 멤버 간에 동기화되지 않습니다. 쌍의 각 멤버에서 SSO를 별도로 설정해야 합니다.
-
고가용성 쌍의 두 FMC는 모두 SSO에 동일한 ID 공급자(IdP)를 사용해야 합니다. SSO에 대해 설정된 각 FMC의 IdP에서 서비스 제공자 애플리케이션을 설정해야 합니다.
-
둘 다 SSO를 지원하도록 설정된 FMC 고가용성 쌍에서는 사용자가 SSO를 사용하여 보조 FMC에 처음으로 액세스하기 전에 먼저 사용자가 SSO를 통해 기본 FMC에 한 번 이상 로그인해야합니다.
-
고가용성 쌍에서 FMC에 대해 SSO를 설정하는 경우:
-
기본 FMC에서 SSO를 설정하는 경우, 보조 FMC에서 SSO를 설정할 필요가 없습니다.
-
보조 FMC에서 SSO를 설정하는 경우, 기본 FMC에서도 SSO를 설정해야 합니다. (SSO 사용자는 보조 FMC에 로그인하기 전에 기본 FMC에 한 번 이상 로그인해야 하기 때문입니다.)
-
Firepower Management Center 백업 중에 고가용성 동작
Firepower Management Center 고가용성 쌍에서 백업을 수행할 경우 백업 작업은 피어 간 동기화를 일시 중지합니다. 이 작업을 수행하는 동안 액티브 Firepower Management Center을 계속 사용할 수 있지만 스탠바이 피어는 사용할 수 없습니다.
백업이 완료되면 동기화가 재시작되어 액티브 피어의 프로세스를 일시적으로 비활성화합니다. 이 일시 중지 상태에 고가용성 페이지는 모든 프로세스가 다시 시작될 때까지 일시적으로 보류 페이지를 표시합니다.
Firepower Management Center 고가용성 스플릿 브레인
고가용성 쌍에서 액티브 Firepower Management Center이 중단(전원 문제, 네트워크/연결 문제)되는 경우 스탠바이 Firepower Management Center를 액티브 상태로 승격시킵니다. 원래 액티브 피어가 복구되면 두 피어 모두 액티브 상태로 간주할 수 있습니다. 이 상태를 '스플릿 브레인' 상태라고 합니다. 이러한 상황이 발생하면 시스템은 액티브 어플라이언스를 선택하고 다른 어플라이언스를 스탠바이로 전환하도록 합니다.
액티브 Firepower Management Center이 중단(또는 네트워크 오류로 연결 끊기)되는 경우 고가용성 또는 스위치 역할을 중단할 수 있습니다. 스탠바이 Firepower Management Center는 성능 저하 상태에 진입합니다.
참고 |
스플릿 브레인을 해결하면 보조로 사용하는 어플라이언스의 모든 디바이스 등록 및 정책 설정이 손실됩니다. 예를 들어 보조에 존재하던 정책 수정 내용을 전부 잃지만 기본에 있던 것은 보존됩니다. Firepower Management Center이 두 어플라이언스가 액티브 상태인 고가용성 스플릿 브레인 시나리오에 돌입하고 스플릿 브레인을 해소하기 전에 관리되는 디바이스를 등록하고 정책을 구축하는 경우 모든 정책을 내보내고 관리되는 디바이스를 새 고가용성이 재구성되기 전에 해당 스탠바이 Firepower Management Center에서 등록 해제해야 합니다. 그런 다음 액티브 Firepower Management Center에서 관리되는 디바이스를 등록하고 정책을 가져올 수 있습니다. |
고가용성 쌍의 Firepower Management Center 업그레이드
Cisco는 온라인으로 다양한 유형의 업데이트를 주기적으로 배포합니다. 시스템 소프트웨어의 주요 및 사소한 업그레이트를 포함합니다. 고가용성 설정에서 Firepower Management Center에 이런 업데이트를 설치해야 할 수 있습니다.
경고 |
업그레이드 중 하나 이상의 운영 Firepower Management Center이 있는지 확인하십시오. |
시작하기 전에
업그레이드와 함께 배포된 릴리스 노트 또는 권고 사항을 읽습니다. 릴리스 정보에는 지원되는 플랫폼, 호환성, 전제 조건, 경고, 특정 설치 및 제거 지침과 같은 중요 정보가 제공됩니다.
프로시저
단계 1 |
액티브 Firepower Management Center의 웹 인터페이스에 액세스하고 데이터 동기화를 중단시키려면 페어링된 Firepower Management Center 간 커뮤니케이션 일시 중지를 참조하십시오. |
단계 2 |
스탠바이 Firepower Management Center을 업그레이드하려면 소프트웨어 업데이트 Firepower Management Center를 참조하십시오. |
단계 3 |
다른 Firepower Management Center을 업그레이드합니다. |
단계 4 |
어떤 Firepower Management Center을 스탠바이로 사용할지 결정합니다. 동기화가 중지된 뒤 스탠바이에 추가된 모든 추가 장치 또는 정책은 액티브 Firepower Management Center에 동기화되지 않습니다. 이러한 추가 디바이스만 등록을 취소하고 유지하려는 설정을 내보냅니다. 새 액티브 Firepower Management Center을 선택한 경우 보조로 지정한 Firepower Management Center는 디바이스 등록 및 동기화되지 않은 정책 설정 구축을 잃게 됩니다. |
단계 5 |
정책 및 디바이스의 최신 요구 설정이 있는 새 액티브 Firepower Management Center을 선택하여 스플릿 브레인을 해결합니다. |
Firepower Management Center 고가용성 문제 해결
이 섹션에서는 Firepower Management Center 고가용성 운영 오류에 대한 일반적인 정보를 설명합니다.
오류 |
설명 |
해결책 |
||
---|---|---|---|---|
대기 모드로 로그인하기 전에 액티브 Firepower Management Center에서 비밀번호를 재설정해야 합니다. |
계정에 강제 비밀번호 재설정이 활성화된 상태에서 대기 FMC에 로그인하려 했습니다. |
데이터베이스가 대기 FMC에 대해 읽기 전용이므로, 액티브 FMC의 로그인 페이지에서 비밀번호를 재설정해야 합니다. |
||
500 내부 |
피어 역할 전환이나 동기화 중지 또는 재개 등 중요한 Firepower Management Center 고가용성 작업을 수행하는 동안 웹 인터페이스 접속을 시도할 때 표시될 수 있습니다. |
작업이 완료되기를 기다린 뒤 웹 인터페이스를 사용합니다. |
||
시스템 프로세스가 시작 중이니 기다려 주시기 바랍니다. 웹 인터페이스가 응답하지 않을 수 있습니다. |
이는 고가용성 또는 데이터 동기화 중 Firepower Management Center이 재부팅될 때(수동 또는 전원 복구 중) 표시될 수 있습니다. |
|