Introduction
La mise en grappe de périphériques assure la redondance de la configuration et des fonctionnalités réseau entre deux périphériques ou piles. Cet article décrit comment configurer le clustering sur les périphériques des gammes Cisco Firepower 7000 et 8000.
Conditions préalables
Avant d'essayer d'établir un cluster, vous devez connaître les différentes fonctionnalités du clustering. Cisco vous recommande de lire la section Clustering Device du FireSIGHT System User Guide pour plus d'informations.
Conditions requises
Les deux périphériques doivent avoir les composants identiques suivants :
- Mêmes modèles matériels
Note: Une pile et un seul périphérique ne peuvent pas être configurés dans un cluster. Ils doivent être dans une pile du même type ou deux périphériques uniques similaires.
- Mêmes modules de réseau (Netmod) dans les mêmes logements
Note: Les modules réseau d'empilage ne sont pas pris en compte lors de la vérification des conditions préalables du cluster. Ils sont considérés comme des logements vides.
-
Les mêmes licences et elles doivent être exactement les mêmes. Si un périphérique possède une licence supplémentaire, le cluster ne peut pas être formé.
-
Mêmes versions logicielles
-
Versions VDB identiques
-
Même stratégie NAT (si configurée)
Components Used
- Deux Cisco Firepower 7010 à la version 5.4.0.4
- FireSIGHT Management Center 5.4.1.3
Remarque : les informations de ce document ont été créées à partir des périphériques d'un environnement de travaux pratiques spécifique. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configuration
Ajout d'un cluster
1. Accédez à Device > Device Management.
2. Sélectionnez les périphériques à regrouper. En haut à droite de la page, sélectionnez la liste déroulante Ajouter.
3. Sélectionnez Ajouter un cluster.
4. La fenêtre contextuelle Ajouter un cluster apparaît. L'écran suivant s'affiche. Indiquez les adresses IP des périphériques actifs et de sauvegarde.
5. Cliquez sur le bouton Cluster. Si toutes les conditions préalables sont remplies, la fenêtre Ajout de l'état du cluster s'affiche pendant 10 minutes maximum.
6. Une fois le cluster créé, vous trouverez les périphériques mis à jour dans la page Gestion des périphériques.
7. Vous pouvez basculer l'homologue actif dans un cluster en cliquant sur la flèche tournante en regard de l'icône de crayon.
Briser un cluster
Vous pouvez briser un cluster en cliquant sur l'option Break cluster en regard de l'icône de corbeille.
Après avoir cliqué sur l'icône Corbeille, vous serez invité à supprimer la configuration d'interface du périphérique de sauvegarde. Sélectionnez Oui ou Non.
Vous pouvez également supprimer un cluster et annuler l'enregistrement des périphériques du centre de gestion en cliquant sur la corbeille.
Si votre périphérique a perdu l'accès au Management Center, vous pouvez interrompre le clustering à l'aide de la commande suivante sur l'interface de ligne de commande :
> configure clustering disable
Partager l'État
Le partage d'état en cluster permet aux périphériques en cluster ou aux piles en cluster de synchroniser les états, de sorte que si l'un des périphériques ou la pile tombe en panne, l'autre homologue peut prendre le relais sans interruption du flux de trafic.
Note: Vous devez configurer et activer les interfaces de liaison haute disponibilité (HA) sur les deux périphériques ou sur les périphériques empilés principaux dans le cluster avant de configurer le partage d'état en cluster.
Attention : L'activation du partage d'état ralentit les performances du système.
Pour activer le partage d'état sur un lien HA, procédez comme suit :
1. Accédez à Périphériques > Gestion des périphériques. Sélectionnez le cluster et modifiez-le.
2. Sélectionnez l'onglet Interfaces.
3. Sélectionnez le lien que vous souhaitez créer en tant que lien HA.
4. Cliquez sur modifier (icône de crayon). La fenêtre Modifier l'interface apparaît.
5. Après avoir activé le lien et configuré d'autres options, cliquez sur Enregistrer.
6. Accédez maintenant à l'onglet Cluster. Vous verrez une section intitulée Partage d'état à droite de la page.
7. Cliquez sur l'icône de crayon pour modifier les options de partage d'état.
8. Assurez-vous que l'option Enabled est cochée.
9. Vous pouvez éventuellement modifier la durée de vie du flux, l'intervalle de synchronisation et la longueur maximale de l'URL HTTP.
Le partage d'état est désormais activé. Vous pouvez vérifier les statistiques de trafic en cliquant sur l'icône en forme de loupe située à côté de Statistics. Vous verrez les statistiques de trafic pour les deux périphériques comme indiqué ci-dessous.
Lorsque le partage d'état est activé et qu'une interface sur le membre actif tombe en panne, toutes les connexions TCP sont transférées au périphérique de secours qui est maintenant devenu actif.
Dépannage
Le périphérique n'est pas correctement configuré
Si l'une des conditions requises n'est pas remplie, le message d'erreur suivant s'affiche :
Dans Management Center, accédez à Devices > Device Management, puis vérifiez si les deux périphériques ont les mêmes versions logicielles, modèles matériels, licences et politiques.
Vous pouvez également exécuter la commande suivante sur un périphérique pour vérifier la stratégie de contrôle d'accès appliquée et la version matérielle et logicielle :
> show summary
-----------------[ Device ]-----------------
Model : Virtual Device 64bit (69) Version 5.4.0.4 (Build 55)
UUID : 4dfa9fca-30f4-11e5-9eb3-b150a60d4996
VDB version : 252
----------------------------------------------------
------------------[ policy info ]-------------------
Access Control Policy : Default Access Control
Intrusion Policy : Initial Inline Policy
.
.
.
Output Truncated
.
Pour vérifier la stratégie NAT, exécutez la commande suivante sur le périphérique :
> show nat config
Note: Les licences ne peuvent être vérifiées que sur le Management Center, car elles sont stockées uniquement sur le Management Center.
Tous les membres de la haute disponibilité doivent avoir des politiques à jour
Une autre erreur que vous pouvez rencontrer est la suivante :
Cette erreur se produit lorsque les stratégies de contrôle d'accès ne sont pas à jour. Réappliquez les stratégies et réessayez la configuration du cluster.
Documents connexes