Configuration de la mise en grappe sur les périphériques des gammes Cisco FirePOWER 7000 et 8000

Options de téléchargement

  • PDF     (809.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (621.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (503.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:5 janvier 2016
ID du document:200316

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

La mise en grappe de périphériques assure la redondance de la configuration et des fonctionnalités réseau entre deux périphériques ou piles. Cet article décrit comment configurer le clustering sur les périphériques des gammes Cisco Firepower 7000 et 8000.

Conditions préalables

Avant d'essayer d'établir un cluster, vous devez connaître les différentes fonctionnalités du clustering. Cisco vous recommande de lire la section Clustering Device du FireSIGHT System User Guide pour plus d'informations.

Conditions requises

Les deux périphériques doivent avoir les composants identiques suivants :

  1. Mêmes modèles matériels

    Note: Une pile et un seul périphérique ne peuvent pas être configurés dans un cluster. Ils doivent être dans une pile du même type ou deux périphériques uniques similaires.

  2. Mêmes modules de réseau (Netmod) dans les mêmes logements

    Note: Les modules réseau d'empilage ne sont pas pris en compte lors de la vérification des conditions préalables du cluster. Ils sont considérés comme des logements vides.

  3. Les mêmes licences et elles doivent être exactement les mêmes. Si un périphérique possède une licence supplémentaire, le cluster ne peut pas être formé.

  4. Mêmes versions logicielles

  5. Versions VDB identiques

  6. Même stratégie NAT (si configurée)

Components Used

  • Deux Cisco Firepower 7010 à la version 5.4.0.4
  • FireSIGHT Management Center 5.4.1.3

Remarque : les informations de ce document ont été créées à partir des périphériques d'un environnement de travaux pratiques spécifique. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configuration

Ajout d'un cluster

1. Accédez à Device > Device Management.

2. Sélectionnez les périphériques à regrouper. En haut à droite de la page, sélectionnez la liste déroulante Ajouter.

3. Sélectionnez Ajouter un cluster.

4. La fenêtre contextuelle Ajouter un cluster apparaît. L'écran suivant s'affiche. Indiquez les adresses IP des périphériques actifs et de sauvegarde.

5. Cliquez sur le bouton Cluster. Si toutes les conditions préalables sont remplies, la fenêtre Ajout de l'état du cluster s'affiche pendant 10 minutes maximum.

6. Une fois le cluster créé, vous trouverez les périphériques mis à jour dans la page Gestion des périphériques.

7. Vous pouvez basculer l'homologue actif dans un cluster en cliquant sur la flèche tournante en regard de l'icône de crayon.

Briser un cluster

Vous pouvez briser un cluster en cliquant sur l'option Break cluster en regard de l'icône de corbeille.

Après avoir cliqué sur l'icône Corbeille, vous serez invité à supprimer la configuration d'interface du périphérique de sauvegarde. Sélectionnez Oui ou Non.

Vous pouvez également supprimer un cluster et annuler l'enregistrement des périphériques du centre de gestion en cliquant sur la corbeille.

Si votre périphérique a perdu l'accès au Management Center, vous pouvez interrompre le clustering à l'aide de la commande suivante sur l'interface de ligne de commande :

> configure clustering disable

Partager l'État

Le partage d'état en cluster permet aux périphériques en cluster ou aux piles en cluster de synchroniser les états, de sorte que si l'un des périphériques ou la pile tombe en panne, l'autre homologue peut prendre le relais sans interruption du flux de trafic.

Note: Vous devez configurer et activer les interfaces de liaison haute disponibilité (HA) sur les deux périphériques ou sur les périphériques empilés principaux dans le cluster avant de configurer le partage d'état en cluster.

Attention : L'activation du partage d'état ralentit les performances du système.

Pour activer le partage d'état sur un lien HA, procédez comme suit :

1. Accédez à Périphériques > Gestion des périphériques. Sélectionnez le cluster et modifiez-le.

2. Sélectionnez l'onglet Interfaces.

3. Sélectionnez le lien que vous souhaitez créer en tant que lien HA.

4. Cliquez sur modifier (icône de crayon). La fenêtre Modifier l'interface apparaît.

5. Après avoir activé le lien et configuré d'autres options, cliquez sur Enregistrer.

6. Accédez maintenant à l'onglet Cluster. Vous verrez une section intitulée Partage d'état à droite de la page.

7. Cliquez sur l'icône de crayon pour modifier les options de partage d'état.

8. Assurez-vous que l'option Enabled est cochée.

9. Vous pouvez éventuellement modifier la durée de vie du flux, l'intervalle de synchronisation et la longueur maximale de l'URL HTTP.

Le partage d'état est désormais activé. Vous pouvez vérifier les statistiques de trafic en cliquant sur l'icône en forme de loupe située à côté de Statistics. Vous verrez les statistiques de trafic pour les deux périphériques comme indiqué ci-dessous.

Lorsque le partage d'état est activé et qu'une interface sur le membre actif tombe en panne, toutes les connexions TCP sont transférées au périphérique de secours qui est maintenant devenu actif.

Dépannage

Le périphérique n'est pas correctement configuré

Si l'une des conditions requises n'est pas remplie, le message d'erreur suivant s'affiche :

Dans Management Center, accédez à Devices > Device Management, puis vérifiez si les deux périphériques ont les mêmes versions logicielles, modèles matériels, licences et politiques.

Vous pouvez également exécuter la commande suivante sur un périphérique pour vérifier la stratégie de contrôle d'accès appliquée et la version matérielle et logicielle :

> show summary
-----------------[ Device ]-----------------
Model                     : Virtual Device 64bit (69) Version 5.4.0.4 (Build 55)
UUID                      : 4dfa9fca-30f4-11e5-9eb3-b150a60d4996
VDB version               : 252
----------------------------------------------------

------------------[ policy info ]-------------------
Access Control Policy     : Default Access Control
Intrusion Policy          : Initial Inline Policy
.
.
.
Output Truncated
.

Pour vérifier la stratégie NAT, exécutez la commande suivante sur le périphérique :

> show nat config

Note: Les licences ne peuvent être vérifiées que sur le Management Center, car elles sont stockées uniquement sur le Management Center.

Tous les membres de la haute disponibilité doivent avoir des politiques à jour

Une autre erreur que vous pouvez rencontrer est la suivante :

Cette erreur se produit lorsque les stratégies de contrôle d'accès ne sont pas à jour. Réappliquez les stratégies et réessayez la configuration du cluster.

Documents connexes

TAC Authored

Contribution d’experts de Cisco

  • Nazmul Rajib
    Cisco TAC Engineer
  • Avinash N
    Cisco TAC Engineer

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits