Configuratie van clusters op Cisco FirePOWER 7000 en 8000 Series-apparaten

Downloadopties

  • PDF     (808.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (618.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (499.0 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:5 januari 2016
Document-id:200316

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Clustering van apparaat voorziet in redundantie van configuratie- en netwerkfunctionaliteit tussen twee apparaten of stapels. Dit artikel beschrijft hoe u de clustering kunt configureren op Cisco Firepower 7000 en 8000 Series apparaten.

Voorwaarden

Voordat u probeert een cluster op te zetten, moet u bekend zijn met verschillende functies van clustering. Cisco raadt u aan het gedeelte Cluster Devices van de FireSIGHT System-gebruikershandleiding voor meer informatie te lezen.

Vereisten

Beide inrichtingen moeten de volgende identieke onderdelen hebben:

  1. Dezelfde hardwaremodellen

    Opmerking: Een stapel en één apparaat kunnen niet in een cluster worden geconfigureerd. Ze moeten in stapels van hetzelfde type of twee soortgelijke afzonderlijke apparaten zijn.

  2. Dezelfde netwerkmodules (Netmod) in exact dezelfde slots

    Opmerking: Stapelnetwerken worden niet in aanmerking genomen bij het controleren van de vereisten voor een cluster. Ze worden beschouwd als hetzelfde als een lege sleuf.

  3. Dezelfde vergunningen en moeten exact hetzelfde zijn. Als een apparaat een extra licentie heeft, kan het cluster niet worden gevormd.

  4. Dezelfde softwareversies

  5. Dezelfde VDB-versies

  6. Hetzelfde NAT-beleid (indien geconfigureerd)

Gebruikte componenten

  • Twee Cisco Firepower 7010 bij versie 5.4.0.4
  • FireSIGHT Management Center 5.4.1.3

Opmerking: de informatie in dit document is gemaakt van de apparatuur in een specifieke labomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Configuratie

Een cluster toevoegen

1. Navigeer naar apparaat > Apparaatbeheer.

2. Selecteer de apparaten die u wilt groeperen. Selecteer rechts boven op de pagina de vervolgkeuzelijst Toevoegen.

3. Selecteer Add Cluster.

4. Het pop-upvenster Add Cluster verschijnt. U ziet het volgende scherm. Geef de IP-adressen van de actieve en back-upapparaten op.

5. Klik op de knop Cluster. Als aan alle voorwaarden is voldaan, ziet u het statusvenster toevoegen van Cluster gedurende maximaal 10 minuten.

6. Zodra het cluster met succes is gecreëerd, zult u de aangepaste apparaten in de pagina Apparaatbeheer vinden.

7. U kunt de actieve peer in een cluster wijzigen door op de roterende pijl te klikken naast het pictogram potlood.

Een cluster breken

U kunt een cluster verbreken door op de Break-clusteroptie te klikken naast het pictogram voor recyclingafval.

Nadat u op het pictogram prullenbak klikt, wordt u gevraagd de interfaceconfiguratie van het reservemiddel te verwijderen. Selecteer Ja of Nee.

U kunt een cluster ook verwijderen en de apparaten van het centrum dereguleren door op op de prullenbak te klikken.

Als uw apparaat de toegang tot het Centrum van het Beheer heeft verloren, kunt u clustering breken met de volgende opdracht op CLI:

> configure clustering disable

De staat delen

Geclusterd state sharing staat de geclusterde apparaten of geclusterde hopen toe om de staten te synchroniseren, zodat als één van de apparaten of stapel faalt, de andere peer kan overnemen zonder onderbreking op verkeersstroom.

Opmerking: U moet de verbindingsinterfaces Hoge beschikbaarheid (HA) op beide apparaten of op de primaire gestapelde apparaten in het cluster configureren en inschakelen voordat u geclusterde state sharing vormt.

Voorzichtig: Staatspreiding vertraagt de systeemprestaties.

Om het delen van de staat op een HA link mogelijk te maken, volgt u de onderstaande stappen:

1. Navigeer naar apparaten > Apparaatbeheer. Selecteer het cluster en bewerk het.

2. Selecteer het tabblad Interfaces.

3. Selecteer de link die u wilt maken als de HA-link.

4. Klik op Bewerken (potlood pictogram). Het venster Interface bewerken verschijnt.

5. Nadat u de koppeling hebt ingeschakeld en andere opties hebt ingesteld, klikt u op Opslaan.

6. Ga nu naar het tabblad Cluster. Het gedeelte met de naam State Sharing naar het rechtergedeelte van de pagina wordt weergegeven.

7. Klik op het potlood pictogram om de staat te bewerken die opties deelt.

8. Controleer of de optie ingeschakeld is.

9. Optioneel kunt u de Flow LiveTime, Sync Interval en Max HTTP URL Lengte wijzigen.

Het delen van staten is nu mogelijk. U kunt verkeersstatistieken controleren door op het pictogram vergroot glas naast Statistieken te klikken. U zult de verkeersstatistieken voor beide apparaten zien zoals hieronder weergegeven.

Wanneer de State Sharing is geactiveerd en een interface op het Actieve lid daalt, worden alle TCP verbindingen overgebracht naar het Standby apparaat dat nu Actief is geworden.

Probleemoplossing

Apparaat is niet goed ingesteld

Indien aan een van de voorwaarden niet is voldaan, verschijnt de volgende foutmelding:

Ga in het Management Center naar de Apparaten > Apparaatbeheer en controleer of beide apparaten dezelfde softwareversies, hardwaremodellen, licenties en beleid hebben.

U kunt ook de volgende opdracht op een apparaat uitvoeren om het toegepaste toegangscontrolebeleid en de versie van de hardware en software te controleren:

> show summary
-----------------[ Device ]-----------------
Model                     : Virtual Device 64bit (69) Version 5.4.0.4 (Build 55)
UUID                      : 4dfa9fca-30f4-11e5-9eb3-b150a60d4996
VDB version               : 252
----------------------------------------------------

------------------[ policy info ]-------------------
Access Control Policy     : Default Access Control
Intrusion Policy          : Initial Inline Policy
.
.
.
Output Truncated
.

Om het NAT beleid te verifiëren, voer de volgende opdracht op het apparaat uit:

> show nat config

Opmerking: De licenties kunnen alleen worden gecontroleerd via het Management Center, aangezien de licenties alleen worden opgeslagen op het Management Center.

Alle leden van de HA moeten over actuele beleidslijnen beschikken

Een andere fout die u kan tegenkomen is de volgende

Deze fout doet zich voor wanneer het beleid voor toegangscontrole niet bijgewerkt is. Pas het beleid opnieuw toe en probeer de clusterconfiguratie opnieuw.

Verwante documenten

TAC Authored

Bijgedragen door Cisco-engineers

  • Nazmul Rajib
    Cisco TAC-ingenieur
  • Avinash N
    Cisco TAC-ingenieur

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten