关于管理中心高可用性
要确保操作的连续性,可通过高可用性功能指定冗余管理中心以管理设备。管理中心支持主用/备用高可用性,其中一个设备是主用设备并管理设备。备用设备不会主动管理设备。主用设备将配置数据写入数据存储区并复制两个设备的数据,在必要时会通过同步与备用设备共享一些信息。
主用/备用高可用性允许您配置辅助 管理中心,以便在主 管理中心发生故障时接管该设备的功能。当主 管理中心发生故障时,必须升级辅助 管理中心使其成为主用设备。
事件数据从受管设备流到高可用性对中的两个 管理中心。如果一个管理中心发生故障,可以使用另一个管理中心继续不间断地监控网络。
请注意,配置为高可用性对的管理中心既无需在同一可信管理网络上,也不必在同一地理位置中。
小心 |
由于系统仅对主用 管理中心开放某些功能,因此如果该设备发生故障,则必须将备用 管理中心升级为主用设备。 |
注 |
在成功部署更改后立即触发 管理中心 切换可能会导致预览配置在新的主用 管理中心上不起作用。这不会影响策略部署功能。建议在完成必要的同步后在 管理中心 上触发切换。 同样,当 管理中心 HA 同步处于降级状态时,触发切换或更改角色可能会使 管理中心 HA 损坏数据库,并且可能会造成灾难性的后果。我们建议您立即联系思科技术支持中心 (TAC) 寻求进一步帮助以解决此问题。 由于各种原因,此 HA 同步最终可能处于降级状态。本章中的 更换高可用性对中的 管理中心 部分介绍了一些故障场景以及修复问题的后续程序。如果降级状态的原因或场景与说明的场景匹配,请按照以下步骤解决问题。对于其他原因,我们建议您联系 TAC。 |
关于远程接入 VPN 高可用性
如果主设备具有使用 CertEnrollment 对象注册的身份证书的远程接入 VPN 配置,则辅助设备必须具有使用同一 CertEnrollment 对象注册的身份证书。由于特定于设备的重写,CertEnrollment 对象可以具有不同的主设备值和辅助设备值。其局限是必须在高可用性形成之前在两个设备上注册相同的 CertEnrollment 对象。
管理中心高可用性中的 SNMP 行为
在 SNMP 配置的 HA 对中,当您部署警报策略时,主管理中心会发送 SNMP 陷阱。当主 管理中心 发生故障时,成为主用设备的辅助 管理中心 会发送 SNMP 陷阱,而无需进行任何其他配置。
Firepower 管理中心高可用性中的角色与状态
主/辅助角色
当在高可用性对中设置 Cisco Secure Firewall Management Center时,您可以将一个 Cisco Secure Firewall Management Center配置为主,将另一个配置为辅助。配置过程中,主设备的策略将同步到辅助设备。在此同步之后,主 Cisco Secure Firewall Management Center成为主用对等体,而辅助 Cisco Secure Firewall Management Center成为备用对等体,并且这两个设备将作为受管设备和策略配置的单个设备。
主用/备用状态
高可用性对中的两个 Cisco Secure Firewall Management Center之间的主要差异与哪个对等体是主用以及哪个对等体是备用相关。主用 Cisco Secure Firewall Management Center保持完整功能,您可以从中管理设备和策略。备用 Cisco Secure Firewall Management Center的功能是隐藏的,您不能进行任何配置更改。
管理中心高可用性对上的事件处理
由于高可用性对中的两个管理中心均可接收来自受管设备的事件,因此不会共享设备的管理 IP 地址。这意味着如果一个管理中心发生故障,您不需要为了确保继续处理事件而进行干预。
AMP 云连接和恶意软件信息
尽管它们共享文件策略和相关配置,但高可用性对中的 管理中心不会共享思科 AMP 云连接和恶意软件处置。为了确保工作连续性以及受检测文件的恶意软件处置情况在两个 管理中心上均相同,主用和备用 管理中心均必须能够访问 AMP 云。
URL 过滤和安全情报
URL 过滤和安全情报配置及信息在高可用性部署中的Cisco Secure Firewall Management Center之间同步。但是,只有主 Cisco Secure Firewall Management Center会下载 URL 类别和信誉数据,以获得安全情报源的更新。
如果主 Cisco Secure Firewall Management Center发生故障,则不仅必须确保辅助 Cisco Secure Firewall Management Center可以访问互联网以更新威胁情报数据,还必须使用辅助 Cisco Secure Firewall Management Center上的 Web 界面将其升级为主用设备。
管理中心 故障切换过程中的用户数据处理
如果主 管理中心 发生故障,则辅助 管理中心 会从 TS 代理身份源传播到受管设备的用户到 IP 映射;并从 ISE/ISE-PIC 身份源传播 SGT 映射。身份源尚未发现的用户被标识为“未知”。
停机时间过后,系统将根据身份策略中的规则重新识别和处理“未知”用户。
管理中心 高可用性对上的配置管理
在高可用性部署中,只有主用 管理中心可以管理设备和应用策略。两个 管理中心都处于连续同步状态。
如果主用 管理中心失败,则高可用性对进入降级状态,直到您手动将备用设备升级到主用状态。升级完成后,设备将离开维护模式。
管理中心 高可用性灾难恢复
在灾难恢复情况下,必须执行手动切换。当主 管理中心 - FMC1 失败时,访问辅助 管理中心 - FMC2 的 Web 接口并交换对等体。这也适用于辅助 (FMC2) 发生故障的情况。有关详细信息,请参阅在管理中心高可用性对中切换对等体。
有关恢复失败的 管理中心,请参阅更换高可用性对中的 管理中心。
单点登录和高可用性对
高可用性配置中的管理中心可以支持单点登录,但必须牢记以下注意事项:
-
高可用性对的成员之间未同步 SSO 配置;您必须在 SSO 对的每个成员上单独配置 SSO。
-
高可用性对中的两个 管理中心必须使用相同的 IdP 进行 SSO。您必须在 IdP 上为每个 管理中心 配置的 SSO 配置服务提供商应用。
-
在均配置为支持 SSO 的 管理中心高可用性对中,在用户首次使用 SSO 访问辅助 管理中心 之前,该用户必须首先使用 SSO 至少登录一次主 管理中心。
-
为高可用性对中的 管理中心配置 SSO 时:
-
如果在主 管理中心上配置 SSO,则不需要在辅助 管理中心上配置 SSO。
-
如果在辅助 管理中心上配置 SSO,则还需要在主 管理中心 上配置 SSO。(这是因为 SSO 用户必须在登录辅助 管理中心之前至少登录一次主 管理中心 。)
-
管理中心备份期间的高可用性行为
对 管理中心高可用性对进行备份时,备份操作会暂停对等体之间的同步。在此操作过程中,您可以继续使用主用 管理中心,但不能使用备用对等体。
备份完成后,同步将继续,这将短暂地禁用主用对等体上的进程。在此暂停期间,“高可用性”页面将短暂显示一个保留页,直到所有进程都恢复为止。
管理中心 高可用性裂脑
如果高可用性对中的活动 管理中心关闭(电源问题、网络/连接问题所致),则可以将备用 管理中心提升为活动状态。当原始活动对等体出现时,两个对等体都可以假定它们处于活动状态。此状态被定义为“裂脑"。出现这种情况时,系统会提示您选择一个活动设备,这会将另一个设备降为备用状态。
如果活动 管理中心关闭(或因网络故障而断开连接),您可以断开高可用性或切换角色。备用 管理中心进入降级状态。
注 |
当您解决裂脑时,不管将哪个设备用作辅助设备,都会丢失其所有设备注册和策略配置。例如,您将丢失对存在于辅助设备但却不在主设备上的任何策略所做的修改。如果 管理中心处于高可用性裂脑情景中,即两个设备处于活动状态,并且您在解决裂脑之前注册受管设备并部署策略,则在重新建立高可用性之前,必须从预期的备用 管理中心导出所有策略并注销所有受管设备。然后,您可以注册受管设备并将策略导入到预期的活动 管理中心。 |
升级高可用性对中的 管理中心
思科定期以电子形式分发多种不同类型的更新。这些更新包括对系统软件的主要和次要升级。您可能需要在高可用性设置中的 管理中心上安装这些更新。
警告 |
请确保在升级过程中至少有一个操作 管理中心。 |
开始之前
阅读升级附带的版本说明或咨询文本。版本说明提供重要信息,包括支持的平台、兼容性、先决条件、警告以及具体安装和卸载说明。
过程
步骤 1 |
访问主用 管理中心的 Web 界面并暂停数据同步;请参阅暂停成对管理中心之间的通信。 |
步骤 2 |
升级备用 管理中心。 |
步骤 3 |
升级另一个 管理中心。 |
步骤 4 |
确定要用作备用设备的 管理中心。在暂停同步之后添加到备用设备的任何其他设备或策略都不会同步到主用 管理中心。仅注销其他设备并导出要保留的任何配置。 当选择新的主用 管理中心时,您指定为辅助设备的 管理中心将失去设备注册和部署的策略配置,这些内容不会同步。 |
步骤 5 |
通过选择具有策略和设备的所有最新所需配置的新主用 管理中心,解决裂脑问题。 |
管理中心高可用性故障排除
本部分列出了有关某些常见 管理中心高可用性操作错误的故障排除信息。
错误 |
说明 |
解决方案 |
||
---|---|---|---|---|
您必须在主用 管理中心 上重置密码,然后方可登录至备用设备。 |
当您的账户启用强制密码重置时,您尝试登录备用 管理中心 。 |
由于数据库对于备用 管理中心是只读的,因此请在主用 管理中心的登录页面上重置密码。 |
||
500 内部 |
如果在执行关键的 管理中心高可用性操作(包括切换对等角色或暂停和恢复同步)时尝试访问 Web 界面,可能会出现该错误。 |
请等到操作完成后再使用 Web 界面。 |
||
系统进程正在启动,请稍候 此外,Web 界面不响应。 |
如果在高可用性或数据同步操作期间 管理中心重启(手动或从断电中恢复时),可能出现该错误。 |
|
||
设备注册状态:主机 <string> 无法访问 |
在 威胁防御的初始配置期间,如果指定了 管理中心 IP 地址和 NAT ID,则 主机 字段可以留空。但是,在 NAT 后面 管理中心的 HA 环境中,在辅助 管理中心上添加 威胁防御 时会发生此错误。 |
|
||
设备注册状态:主机 <string> 无法访问 |
在辅助 管理中心 和 威胁防御 设备均位于 NAT 之后,将 威胁防御 设备添加到高可用性部署中的辅助 管理中心 中心时,会发生此错误。 |
在备用 管理中心 Web 界面上,点击 。在待处理设备注册表下,点击待处理设备的 IP 地址,然后将 IP 地址更改为 威胁防御的公共 IP 地址。 或
|
||
高可用性 管理中心之间的设备配置同步已停止。 |
在 管理中心 高可用性同步时,设备配置历史记录文件现在与其他配置数据并行同步。如果过去 6 个小时未发生同步, 管理中心 会监控配置历史记录文件同步任务,并在 HA 同步超时时通知您。此运行状况警报显示在主用和备用 管理中心中。 |
主用和备用 管理中心都将进入降级状态。请联系思科支持部门进行故障排除。 |