在Cisco FirePOWER 7000和8000系列裝置上配置集群
簡介
裝置集群在兩個裝置或堆疊之間提供配置和網路功能的冗餘。本文描述如何在Cisco Firepower 7000和8000系列裝置上配置集群。
必要條件
在嘗試建立群集之前,必須熟悉群集的各種功能。有關詳細資訊,思科建議您閱讀《FireSIGHT系統使用手冊》的集群裝置部分。
需求
兩台裝置必須具有下列相同的元件:
- 相同的硬體型號
- 完全相同的插槽中的相同網路模組(網路模組)
-
相同的許可證,並且它們必須完全相同。如果一台裝置有額外的許可證,則無法形成群集。
-
相同的軟體版本
-
相同的VDB版本
-
相同的NAT策略(如果已配置)
採用元件
- 兩部5.4.0.4版的Cisco Firepower 7010
- FireSIGHT管理中心5.4.1.3
組態
新增集群
1.導航到Device > Device Management。
2.選擇要群集的裝置。在頁面右上角,選擇Add下拉選單。
3.選擇Add Cluster。
4.出現Add Cluster彈出視窗。您將看到以下螢幕。提供活動裝置和備份裝置的IP地址。
5.按一下集群按鈕。如果滿足所有前提條件,您最多會看到Adding Cluster狀態視窗10分鐘。
6.成功建立集群後,您將在Device Management(裝置管理)頁中找到更新的裝置。
7.通過按一下鉛筆圖示之外的旋轉箭頭,可以切換集群中的活動對等體。
中斷集群
您可以通過在資源回收筒圖示之外按一下「中斷集群」選項來中斷集群。
按一下資源回收筒圖示後,系統會要求您從備份裝置中刪除介面配置。選擇Yes或No。
您還可以通過按一下資源回收筒從管理中心刪除群集和註銷設備。
如果您的裝置無法訪問管理中心,您可以在CLI上使用以下命令中斷集群:
> configure clustering disable
共用狀態
集群狀態共用允許集群裝置或集群堆疊同步狀態,這樣,如果其中一個裝置或堆疊發生故障,另一個對等體可以在不中斷資料流的情況下接管該裝置。
要在HA鏈路上啟用狀態共用,請執行以下步驟:
1.導航至Devices > Device Management。選擇群集並進行編輯。
2.選擇Interfaces頁籤。
3.選擇要作為HA連結的連結。
4.按一下edit(鉛筆圖示)。 出現Edit Interface視窗。
5.啟用連結並配置其他選項後,按一下儲存。
6.現在導航至集群頁籤。在頁面的右側有一個名為狀態共用的部分。
7.按一下鉛筆圖示以編輯狀態共用選項。
8.確保選中Enabled選項。
9.(可選)您可以更改流生命期、同步間隔和最大HTTP URL長度。
現在已啟用狀態共用。您可以通過按一下「統計資訊」旁邊的放大鏡圖示來檢查流量統計資訊。您將看到兩台裝置的流量統計資訊,如下所示。
啟用狀態共用且活動成員上的介面關閉時,所有TCP連線都將傳輸到現在變為活動狀態的備用裝置。
疑難排解
裝置配置不正確
如果未滿足其中一個前提條件,則會出現以下錯誤消息:
在管理中心,導航至Devices > Device Management,驗證兩台裝置是否具有相同的軟體版本、硬體型號、許可證和策略。
或者,您也可以在裝置上運行以下命令來驗證應用的訪問控制策略以及硬體和軟體版本:
> show summary
-----------------[ Device ]-----------------
Model : Virtual Device 64bit (69) Version 5.4.0.4 (Build 55)
UUID : 4dfa9fca-30f4-11e5-9eb3-b150a60d4996
VDB version : 252
----------------------------------------------------
------------------[ policy info ]-------------------
Access Control Policy : Default Access Control
Intrusion Policy : Initial Inline Policy
.
.
.
Output Truncated
.
要驗證NAT策略,請在裝置上運行以下命令:
> show nat config
所有HA成員都必須具有最新的策略
您可能會遇到的另一個錯誤如下
訪問控制策略不是最新時會發生此錯誤。重新應用策略並重新嘗試群集配置。
相關檔案
意見