关于高可用性(故障切换)
高可用性或故障切换设置可以将两台设备相关联,这样,当主设备发生故障时,辅助设备可以接管其任务。这有助于您在设备发生故障时保持网络运行。
配置高可用性需要两台相同的 Firepower 威胁防御设备,二者之间通过专用故障切换链路和(可选)状态链路彼此互连。这两台设备不断通过故障切换链路进行通信,以便确定每台设备的运行状态并同步已部署的配置更改。系统使用状态链路将连接状态信息传递到备用设备,因此如果发生故障切换,用户连接将得以保留。
这两台设备构成一对主用/备用设备,其中一台设备是主用设备并传递流量。备用设备不会主动传递流量,但会使配置和其他状态信息与主用设备同步。
系统会对主用设备的运行状况(硬件、接口、软件以及环境状态)进行监控,以便确定是否符合特定的故障切换条件。如果符合条件,主用设备将故障切换至备用设备,届时备用设备将变成主用设备。
关于主用/备用故障切换
主用/备用故障切换允许您使用备用 Firepower 威胁防御设备来接管故障设备的功能。当主用设备发生故障时,备用设备将变为主用设备。
主/辅助角色和主用/备用状态
在故障切换对中这两台设备之间的主要区别是哪台是主用设备,哪台是备用设备,即要使用哪些 IP 地址以及哪台设备积极传递流量。
但是,设备之间还存在一些取决于哪一设备为主设备(在配置中指定),哪一设备为辅助设备的差别:
-
如果两台设备同一时间启动(并且运行状况相同),则主设备总是会成为主用设备。
-
主设备 MAC 地址始终与主用 IP 地址相匹配。此规则的例外是,当辅助设备成为主用设备并且无法通过故障切换链路获取主设备 MAC 时。在这种情况下,会使用辅助设备的 MAC 地址。
启动时的主用设备确定
主用设备按以下方式确定:
-
如果某台设备启动,并检测到对等体已作为主用设备运行,则该设备会成为备用设备。
-
如果某台设备启动,并且未检测到对等体,则该设备会成为主用设备。
-
如果两台设备同时启动,则主设备成为主用设备,辅助设备成为备用设备。
故障切换事件
在主用/备用故障切换中,故障切换会在设备级别进行。
下表显示了每个故障事件的故障切换操作。对于每种故障事件,该表显示了故障切换策略(故障切换或禁用故障切换)、主用设备执行的操作、备用设备执行的操作,以及有关故障切换条件和操作的所有特别说明。
故障事件 |
策略 |
主用组操作 |
备用组操作 |
备注 |
---|---|---|---|---|
主用设备发生故障(电源或硬件) |
故障切换 |
不适用 |
成为主用设备 将主用设备标记为发生故障 |
在任何受监控接口或故障切换链路上,均未收到 Hello 消息。 |
以前的主用设备恢复 |
禁用故障切换 |
成为备用设备 |
无需操作 |
无。 |
备用设备发生故障(电源或硬件) |
禁用故障切换 |
将备用设备标记为发生故障 |
不适用 |
备用设备被标记为发生故障后,主用设备不会尝试进行故障切换,即使超过接口故障阈值也是如此。 |
故障切换链路在运行过程中发生故障 |
禁用故障切换 |
将故障切换链路标记为发生故障 |
将故障切换链路标记为发生故障 |
您应尽快恢复故障切换链路,因为当故障切换链路发生故障时,设备无法故障切换到备用设备。 |
故障切换链路在启动时发生故障 |
禁用故障切换 |
将故障切换链路标记为发生故障 |
成为主用设备 |
如果故障切换链路在启动时发生故障,则两台设备都会成为主用设备。 |
状态链路发生故障 |
禁用故障切换 |
无需操作 |
无需操作 |
如果发生故障切换,状态信息会过时,而且会话会被终止。 |
主用设备上的接口故障超过阈值 |
故障切换 |
将主用设备标记为发生故障 |
成为主用设备 |
无。 |
备用设备上的接口故障超过阈值 |
禁用故障切换 |
无需操作 |
将备用设备标记为发生故障 |
备用设备被标记为发生故障后,主用设备不会尝试进行故障切换,即使超过接口故障阈值也是如此。 |
故障切换和状态故障切换链路
故障切换链路是两台设备之间的专用连接。状态故障切换链路也是专用连接,不过,您可以使用一个故障切换链路作为组合的故障切换/状态链路,也可以创建单独的专用状态链路。如果仅使用故障切换链路,状态信息也会通过该链路:状态故障切换功能不会受到影响。
默认情况下,故障切换和状态故障切换链路上的通信是纯文本通信(不加密)。为了增强安全性,您可以通过配置 IPsec 加密密钥对通信加密。
以下主题更加详细地介绍了这些接口,并就如何连接设备以获得最佳效果给出了建议。
故障切换链路
故障切换对中的两台设备会不断地通过故障切换链路进行通信,以确定每台设备的运行状态和同步配置更改。
以下信息将通过故障切换链路传输:
-
设备状态(主用或备用)。
-
Hello 消息 (keep-alives)。
-
网络链路状态。
-
MAC 地址交换。
-
配置复制和同步。
-
系统数据库更新,包括 VDB 和规则,但不包括地理位置和安全情报数据库。每个系统会单独下载地理位置和安全情报更新。如果您创建更新计划,这些更新应保持同步。但是,如果您在主用设备上执行手动地理位置或安全情报更新,那么也应在备用设备上执行同样的操作。
注 |
事件、报告和审核日志数据不会同步。事件查看器和控制面板仅显示与特定设备相关的数据。此外,部署历史记录、任务历史记录和其他审核日志事件不会同步。 |
状态故障切换链路
系统使用状态链路将连接状态信息传送到备用设备。此信息可在发生故障切换时帮助备用设备保留现有连接。
对故障切换和状态故障切换链路使用一条链路能够最大程度地节省接口。但是,如果您有一个大型配置和高流量网络,必须考虑对状态链路和故障切换链路使用专用接口。
思科建议状态故障切换链路的带宽应匹配设备上数据接口的最大带宽。
用于故障切换和状态链路的接口
可以使用未使用但已启用的数据接口(物理接口接口)作为故障切换链路;但无法指定当前配置了名称的接口。故障切换链路接口不会配置为常规网络接口;该接口仅会因为故障切换而存在。该接口只能用于故障切换链路(还用于状态链路)。无法使用管理接口或子接口进行故障切换。
FTD 用户数据和故障切换链路之间共享接口。
连接故障切换和状态故障切换接口
您可以将任何未使用的数据物理接口用作故障切换链路和可选的专用状态链路。但是,您不能选择当前已配置名称或具有子接口的接口。故障切换和状态故障切换链路接口不会被配置为通常的网络接口。这些接口只是为了进行故障切换通信,不能用于直通流量或管理访问。
此配置在设备之间是同步的,因此您必须为链路的两端选择相同的端口号。例如,用于故障切换链路的两台设备都使用 GigabitEthernet1/3。
使用以下两种方法中的一种连接故障切换链路和专用状态链路(如已使用):
-
使用不与任何其他设备处于相同网段(广播域或 VLAN)的交换机作为 Firepower 威胁防御设备的故障切换接口。专用状态链路的要求与故障切换链路相同,只是必须与故障切换链路位于不同的网段上。
注
使用交换机的优点是,如果设备的其中一个接口发生故障,可以轻松确定哪一个接口出现故障。如果使用直连电缆连接,那么当一个接口发生故障时,链路将在两个对等设备上断开,这样将难以确定哪台设备出现故障。
-
使用以太网电缆直接连接设备,无需外部交换机。Firepower 威胁防御设备在其铜缆以太网端口上支持自动 MDI/MDIX,因此您可以使用交叉电缆或直通电缆。如果使用的是直通电缆,接口会自动检测该电缆,并将其中一个发送/接收对交换为 MDIX。
使用长距离故障切换时,为实现最佳性能,状态链路的延迟应低于 10 毫秒且不超过 250 毫秒。如果延迟超过 10 毫秒,重新传输故障切换消息会导致一些性能降级。
避免中断故障切换和数据链路
我们建议,让故障切换链路和数据接口使用不同的路径,以便降低所有接口同时发生故障的可能性。如果故障切换链路发生故障,Firepower 威胁防御设备可使用数据接口来确定是否需要进行故障切换。随后,故障切换操作会被暂停,直到故障切换链路恢复正常。
请参阅以下连接情景,以设计具有弹性的故障切换网络。
情景 1 - 不推荐
如果单台交换机或一组交换机用于连接两台 Firepower 威胁防御设备之间的故障切换和数据接口,则交换机或交换机间链路发生故障时,两台 Firepower 威胁防御设备都都将处于主用状态。因此,建议不要使用下图中显示的 2 种连接方法。
情景 2 - 推荐
我们建议不要让故障切换链路和数据接口使用相同的交换机,而是应使用不同的交换机或使用直连电缆来连接故障切换链路,如下图所示。
情景 3 - 推荐
如果 Firepower 威胁防御数据接口连接到多台交换机,则故障切换链路可以连接到其中一台交换机,最好是处于网络的安全一侧(内部)的交换机,如下图所示。
状态故障切换如何影响用户连接
主用设备与备用设备共享连接状态信息。这意味着,备用设备可以保持某些类型的连接,而不会影响用户。
但是,有一些类型的连接不支持状态故障切换。对于这些连接,如果发生故障切换,用户需要重新建立连接。通常,连接会根据连接中所用协议的行为自动进行。
以下主题介绍状态故障切换支持或不支持的功能。
支持的功能
对于状态故障切换,以下状态信息会传送至备用 Firepower 威胁防御设备:
-
NAT 转换表。
-
TCP 和 UDP 连接和状态,包括 HTTP 连接状态。其他类型的 IP 协议和 ICMP 不会通过主用设备解析,因为它们是在新数据包到达时在新的主用设备上建立的。
-
Snort 连接状态、检查结果和引脚信息,包括严格 TCP 实施。
-
ARP 表
-
第 2 层网桥表(适用于桥接组)
-
ISAKMP 和 IPsec SA 表
-
GTP PDP 连接数据库
-
SIP 信令会话和引脚。
-
静态和动态路由表 - 状态故障切换会参与动态路由协议(如 OSPF 和 EIGRP),因此通过主用设备上的动态路由协议获悉的路由,将会保留在备用设备的路由信息库 (RIB) 表中。发生故障切换事件时,数据包可以正常传输,并且只会对流量产生极小的影响,因为主用辅助设备一开始就具有镜像主设备的规则。进行故障切换后,新的主用设备上的重新融合计时器会立即启动。随后 RIB 表中的代编号将会增加。在重新融合期间,OSPF 和 EIGRP 路由将使用新的代编号进行更新。计时器到期后,过时的路由条目(由代编号确定)将从表中删除。于是 RIB 将包含新主用设备上的最新的路由协议转发信息。
注
路由仅会因为主用设备上的链路打开或关闭事件而同步。如果备用设备上的链路打开或关闭,从主用设备发出的动态路由可能会丢失。这是预期的正常行为。
-
DHCP 服务器 - 不会复制 DHCP 地址租用。但是,在接口上配置的 DHCP 服务器将发送 ping 命令,以确保在向 DHCP 客户端授予地址前不使用地址,使得服务不会受到影响。对于 DHCP 中继代理或 DDNS,状态信息不相关。
-
访问控制策略决策 - 在故障切换期间,会保留与流量匹配(包括 URL、URL 类别、地理位置等)、入侵检测、恶意软件和文件类型相关的决策。但是,对于在故障切换时评估的连接,有以下注意事项:
-
AVC - 系统会复制 App-ID 裁定,而不是检测状态。只要 App-ID 裁定是完整的,并且在发生故障切换之前完成同步,即可实现正确的同步。
-
入侵检测状态 - 进行故障切换时,一旦出现拾取中间流的情况,新检测既已完成,但旧状态会丢失。
-
文件恶意软件阻止 - 文件处置必须在故障切换之前变为可用。
-
文件类型检测和阻止 - 文件类型必须在故障切换之前加以识别。如果在原始主用设备识别文件时发生故障切换,则文件类型不同步。即使文件策略阻止该文件类型,新的主用设备也会下载该文件。
-
-
来自身份策略的被动用户身份决策,并非通过主动身份验证和通过强制网络门户收集的决策。
-
安全情报决策。
-
RA VPN - 故障切换后,远程接入 VPN 终端用户不必对 VPN 会话重新进行身份验证,也不必重新连接。但是,在 VPN 连接上运行的应用,在故障切换过程中可能会丢失数据包,并且无法从数据包丢失中恢复。
不支持的功能
对于状态故障切换,以下状态信息不会传送至备用 Firepower 威胁防御设备:
-
纯文本隧道(例如 GRE 或 IP-in-IP 隧道)内的会话。不会复制隧道内部的会话,并且新的主动节点不能重复使用现有检测判定来匹配正确的策略规则。
-
由 SSL 解密策略解密的连接 - 解密状态不同步,且重置后当前已解密的连接将被阻止。新连接将正常工作。未解密的连接(它们匹配不解密规则)不受影响,并会像其他任何 TCP 连接一样正确进行复制。
-
组播路由。
备用设备上允许的配置更改和操作
当设备在高可用性模式下运行时,仅需要对主用设备进行配置更改。部署配置时,新的更改也会传输到备用设备。
但某些属性是备用设备所特有的。您可以在备用设备上更改以下属性:
-
管理 IP 地址和网关。
-
(仅限于 CLI。)管理员用户账户的密码。此更改只能在 CLI 中进行,不可以在 FDM 中进行。
此外,您还可以在备用设备上执行以下操作。
-
高可用性操作(例如暂停,恢复、重置和中断 HA)以及在主用设备和备用设备之间进行模式切换。
-
每个设备的控制面板和事件数据是唯一的,并且是不同步的。这包括事件查看器中的自定义视图。
-
每个设备的审核日志信息是唯一的。
-
智能许可注册。前提是,您必须启用或禁用主用设备上的可选许可证,并且该操作是与备用设备同步的,用于请求或释放相应的许可证。
-
备份,但不进行恢复。要恢复备份,您必须中断设备上的 HA。如果备份包括 HA 配置,设备将重新加入高可用性组。
-
软件升级安装。
-
生成故障排除日志。
-
手动更新地理位置或安全情报数据库。这些数据库在设备之间不同步。如果您创建更新计划,设备可以独立地保持一致。
-
您可以从
页面查看活动 Firepower 设备管理器用户会话,并删除会话。