Configuração de clusters em dispositivos Cisco FirePOWER 7000 e 8000 Series

Opções de download

  • PDF     (809.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (618.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (499.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:5 de janeiro de 2016
ID do documento:200316

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

O agrupamento de dispositivos fornece redundância de configuração e funcionalidade de rede entre dois dispositivos ou pilhas. Este artigo descreve como configurar o clustering em dispositivos Cisco Firepower 7000 e 8000 Series.

Prerequisites

Antes de tentar estabelecer um cluster, você deve estar familiarizado com vários recursos de clustering. A Cisco recomenda que você leia a seção Clustering Device do Guia do usuário do sistema FireSIGHT para obter mais informações.

Requirements

Ambos os dispositivos devem ter os seguintes componentes idênticos:

  1. Os mesmos modelos de hardware

    Note: Uma pilha e um único dispositivo não podem ser configurados em um cluster. Eles devem estar em pilha do mesmo tipo ou em dois dispositivos únicos semelhantes.

  2. Mesmos módulos de rede (Netmod) exatamente nos mesmos slots

    Note: Os netmods de empilhamento não são considerados quando os pré-requisitos do cluster são verificados. Eles são considerados iguais a um slot vazio.

  3. As mesmas licenças e devem ser exatamente as mesmas. Se um dispositivo tiver uma licença adicional, o cluster não poderá ser formado.

  4. Mesmas versões de software

  5. Mesmas versões de VDB

  6. Mesma política de NAT (se configurada)

Componentes Utilizados

  • Dois Cisco Firepower 7010 na versão 5.4.0.4
  • FireSIGHT Management Center 5.4.1.3

Observação: as informações neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configuração

Adicionando um cluster

1. Navegue até Device > Device Management (Dispositivo > Gerenciamento de dispositivos).

2. Selecione os dispositivos que deseja agrupar. Na parte superior direita da página, selecione a lista suspensa Adicionar.

3. Selecione Adicionar cluster.

4. A janela pop-up Adicionar cluster é exibida. Você verá a tela a seguir. Forneça os endereços IP dos dispositivos Ativo e Backup.

5. Clique no botão Cluster. Se todos os pré-requisitos forem atendidos, você verá a janela de status Adicionar cluster por até 10 minutos.

6. Quando o cluster for criado com êxito, você encontrará os dispositivos atualizados na página Gerenciamento de dispositivos.

7. Você pode alternar o peer ativo em um cluster clicando na seta de rotação além do ícone do lápis.

Quebrando um cluster

Você pode quebrar um cluster clicando na opção Quebrar cluster além do ícone reciclagem.

Depois de clicar no ícone reciclagem, você será solicitado a remover a configuração da interface do dispositivo de backup. Selecione Sim ou Não.

Você também pode excluir um cluster e cancelar o registro dos dispositivos do Management Center clicando na lixeira.

Se o seu dispositivo tiver perdido o acesso ao Management Center, você poderá interromper o clustering usando o seguinte comando na CLI:

> configure clustering disable

Compartilhando o Estado

O compartilhamento de estado em cluster permite que os dispositivos em cluster ou as pilhas em cluster sincronizem os estados, de modo que, se um dos dispositivos ou pilha falhar, o outro peer poderá assumir o controle sem nenhuma interrupção no fluxo de tráfego.

Note: Você deve configurar e ativar as interfaces de link de alta disponibilidade (HA) em ambos os dispositivos ou nos dispositivos empilhados primários no cluster antes de configurar o compartilhamento de estado em cluster.

Caution: A ativação do compartilhamento de estado retarda o desempenho do sistema.

Para ativar o compartilhamento de estado em um link HA, siga as etapas abaixo:

1. Navegue até Dispositivos > Gerenciamento de dispositivos. Selecione o cluster e edite.

2. Selecione a guia Interfaces.

3. Selecione o link que deseja fazer como o link HA.

4. Clique em editar (ícone do lápis). A janela Editar interface é exibida.

5. Depois de habilitar o link e configurar outras opções, clique em Salvar.

6. Agora, navegue até a guia Cluster. Você verá uma seção chamada Compartilhamento de estado na seção direita da página.

7. Clique no ícone do lápis para editar as opções de compartilhamento de estado.

8. Verifique se a opção Enabled (Habilitado) está marcada.

9. Opcionalmente, você pode alterar o Flow Lifetime, Sync Interval e Max HTTP URL Length.

O compartilhamento de estado agora está ativado. Você pode verificar as estatísticas de tráfego clicando no ícone de lente de aumento ao lado de Estatísticas. Você verá as estatísticas de tráfego dos dois dispositivos como mostrado abaixo.

Quando o Compartilhamento de Estado é ativado e uma interface no membro Ativo é desativada, todas as conexões TCP são transferidas para o dispositivo Standby que agora se tornou Ativo.

Troubleshooting

O dispositivo não está configurado corretamente

Se um dos pré-requisitos não for atendido, a seguinte mensagem de erro será exibida:

No Management Center, navegue até Devices > Device Management e verifique se ambos os dispositivos têm as mesmas versões de software, modelos de hardware, licenças e políticas.

Como alternativa, em um dispositivo, você pode executar o seguinte comando para verificar a política de controle de acesso aplicada e a versão de hardware e software:

> show summary
-----------------[ Device ]-----------------
Model                     : Virtual Device 64bit (69) Version 5.4.0.4 (Build 55)
UUID                      : 4dfa9fca-30f4-11e5-9eb3-b150a60d4996
VDB version               : 252
----------------------------------------------------

------------------[ policy info ]-------------------
Access Control Policy     : Default Access Control
Intrusion Policy          : Initial Inline Policy
.
.
.
Output Truncated
.

Para verificar a política de NAT, execute o seguinte comando no dispositivo:

> show nat config

Note: As licenças só podem ser verificadas no Management Center porque são armazenadas somente no Management Center.

Todos os membros do HA devem ter políticas atualizadas

Outro erro que você pode encontrar é o seguinte

Esse erro ocorre quando as políticas de controle de acesso não estão atualizadas. Reaplique as políticas e repita a configuração do cluster.

Documentos relacionados

TAC Authored

Colaborado por engenheiros da Cisco

  • Nazmul Rajib
    Cisco TAC Engineer
  • Avinash N
    Cisco TAC Engineer

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos