Haben Sie bereits einen Account?

  •   Personalisierte Inhalte
  •   Ihre Produkte und Ihr Support

Benötigen Sie einen Account?

Einen Account erstellen

Konfiguration der Hochverfügbarkeit in Verteidigungszentren der Serie 3

Download-Optionen

  • PDF     (624.7 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (526.8 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (514.3 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:27. Juni 2016
Dokument-ID:200536
Informationen zur Übersetzung

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Dieses Dokument beschreibt die Konfiguration von High Availability (HA) für Defense Center der Serie 3.

Voraussetzungen

Anforderungen

Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:

  • FirePOWER-Technologie
  • Grundlegende Hochverfügbarkeitskonzepte

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf Geräten der Firepower Defense Center Series 3 (DC1500, DC2000, DC3500, DC4000), die von der Softwareversion 5.3 auf die Softwareversion 5.4.1.6 ausgeführt werden.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Hintergrundinformationen

Um die Kontinuität der Betriebsabläufe zu gewährleisten, können Sie mit der Funktion für hohe Verfügbarkeit redundante Defense Center für das Gerätemanagement einrichten. Das Defense Center verwaltet Ereignisdatenströme von verwalteten Geräten und bestimmten Konfigurationselementen dieser Geräte. Wenn ein Defense Center ausfällt, können Sie Ihr Netzwerk unterbrechungsfrei über das andere Defense Center überwachen.

Funktionen für hohe Verfügbarkeit

  • Die HA-Synchronisierung ist bidirektional, d. h., obwohl ein designiertes primäres und sekundäres Gerät vorhanden ist, werden auf einem der Geräte hinzugefügte Änderungen auf das andere repliziert.

  • HA erfordert keine direkte Verbindung der Geräte. Die HA-Verbindung kann über einen Switch hergestellt werden, diese Verbindung muss sich jedoch in derselben Broadcast-Domäne befinden.

  • HA-Geräte kommunizieren über ihre Verwaltungs-IP an Port 8305.

  • Die HA-Synchronisierungszeit für ein Gerät beträgt fünf Minuten. Das bedeutet, dass ein Gerät nach fünf Minuten versucht, seine Konfiguration mit seinem Peer zu synchronisieren. Da die für die Synchronisierung benötigte Zeit für Geräte spezifisch ist, kann die Synchronisierungszeit kumulativ auf zehn Minuten maximiert werden.

  • Wenn für einen bestimmten HA-Peer ein neues Image erforderlich ist, wird empfohlen, die HA-Klasse zu brechen und anschließend ein neues Image zu erstellen.

  • Wenn Sie ein Upgrade des HA-Clusters planen, ist es nicht erforderlich, die HA zu unterbrechen. Wenn Sie ein Upgrade von Version 5.3.0 auf Version 5.4.0 durchführen, aktualisieren Sie die Geräte einzeln und führen eine Synchronisierungsaufgabe im primären Defense Center durch.
  • Durch das Vorhandensein einer Zugriffsrichtlinie mit dem gleichen Namen auf beiden Rechenzentren werden zwei Zugriffskontrollrichtlinien mit demselben Namen erstellt. Eine Richtlinie wird lokal konfiguriert, die andere vom Peer-DC synchronisiert.

Hinweis: Sie können ein Ziel nicht hinzufügen oder diese Richtlinie anwenden, da sie einen Fehler auslöst, der besagt, dass bereits eine Richtlinie mit demselben Namen vorliegt.

  • Die Lizenzen sind nicht zwischen Gleichstrom-Peers synchronisiert, daher müssen sie den Gleichstromgeräten separat hinzugefügt werden.

  • Alle verwalteten Geräte werden nur einem Rechenzentrum hinzugefügt. Die Konfiguration wird zwischen den Peer-DCs synchronisiert.

  • Verwaltete Geräte senden Protokolle an beide Rechenzentren.

  • Rechenzentren synchronisieren die neuesten Aktionen. Wenn Sie beispielsweise einen Benutzer aus RZ-1 löschen, synchronisiert der andere Peer RZ-2 die Benutzerkonfiguration nicht mit RZ-1. Es synchronisiert die Löschaktion, und der Benutzer verlässt sowohl das RZ-1 als auch das RZ-2.

Konfiguration wird bidirektional zwischen Peers gemeinsam genutzt

Hochverfügbarkeits-Rechenzentren synchronisieren Richtlinien bidirektional. Diese Konfigurationen werden bidirektional zwischen Peers synchronisiert. Sie können die meisten dieser Konfigurationen auch mit dem genau daneben definierten Pfad anzeigen:

Identitäten und Authentifizierung

  • Externe LDAP-Konfiguration - Navigieren Sie zu System > Local > User Management > External Authentication
  • Benutzer (intern und extern): Navigieren Sie zu System > Lokal > Benutzerverwaltung > Benutzer
  • Benutzerdefinierte Benutzerrollen - Navigieren Sie zu System > Lokal > Benutzerverwaltung > Benutzerrollen.

Berichte

  • Berichtsvorlagen: Navigieren Sie zu Übersicht > Berichte > Berichtsvorlagen.

Konfigurierbare Richtlinien (im Abschnitt "Richtlinien")

  • Zugriffskontrollrichtlinien, Zugriffsrichtlinien, Dateirichtlinien, SSL-Richtlinien, Netzwerkzugriffsrichtlinien, Korrelationsrichtlinien und -regeln, Compliance-Whitelist und Datenverkehrsprofile. 
  • Angriffsregeln (lokal und SRU)- Navigieren Sie zu Richtlinien > Intrusion > Rule Editor > Local Rules.
  • Netzwerkerkennung, Hostattribute, Benutzerfeedback zur Netzwerkerkennung, einschließlich Notizen und Wichtigkeit des Hosts, Löschen von Hosts, Anwendungen und Netzwerken aus der Netzwerkübersicht und Deaktivieren oder Ändern von Schwachstellen.
  • Benutzerdefinierte Anwendungserkennung
  • LDAP-Verbindungen in Benutzerrichtlinien - Navigieren Sie zu Richtlinien > Benutzer.
  • Warnungen: Navigieren Sie zu Richtlinien > Aktionen > Warnungen (unter Antworten).

Geräteinformationen

  • NAT-Regeln - Navigieren Sie zuGeräte > NAT
  • VPN-Regeln: Navigieren Sie zuGeräte > VPN.
  • Alle Geräteinformationen, einschließlich Name und Gruppe, werden bidirektional synchronisiert. Speicherort für Protokollspeicher für jedes Gerät wird auch zwischen Peers synchronisiert - Navigieren Sie zu Geräten > Gerätemanagement.
  • Benutzerdefinierte Angriffsregelklassifizierungen
  • Benutzerdefinierte Fingerprints aktiviert
  • Systemrichtlinien und Integritätsrichtlinien
  • Benutzerdefinierte Dashboards, benutzerdefinierte Workflows und benutzerdefinierte Tabellen
  • Abstimmung, Snapshots und Berichtseinstellungen ändern
  • Updates von Sourcefire-Regelaktualisierungen (SRU), Geolocation-Datenbank (GeoDB) und Schwachstellendatenbanken (VDB)

Konfiguration nicht zwischen Rechenzentren synchronisiert

  • Benutzer-Agent-Informationen in der Benutzerrichtlinie 
  • NMAP-Scans
  • Antwortgruppen 
  • Problembehebungsmodule
  • Beseitigungsinstanzen
  • Estreamer und Host Input Client
  • Sicherungsprofile
  • Zeitpläne 
  • Lizenzen
  • Aktualisierungen
  • Gesundheitswarnungen

Konfigurieren

Voraussetzungen für die Konfiguration von Hochverfügbarkeit

  • Die Geräte müssen über dieselbe Software- und Hardwareversion verfügen.

  • Auf den Geräten muss dasselbe VDB installiert sein.

  • Die Geräte müssen über dieselbe SRU verfügen.

  • Stellen Sie sicher, dass beide Defense Center über ein Benutzerkonto mit dem Namen admin mit Administratorrechten verfügen. Diese Konten müssen dasselbe Kennwort verwenden.

  • Stellen Sie sicher, dass die beiden Defense Center über keine Administratorkonten mit identischen Benutzernamen verfügen. Entfernen oder umbenennen Sie eines der doppelten Benutzerkonten, bevor Sie eine hohe Verfügbarkeit feststellen.

  • Stellen Sie sicher, dass beide Geräte keine Zugriffskontrollrichtlinien mit demselben Namen haben. Wenn zwei Zugriffskontrollrichtlinien mit demselben Namen vorhanden sind, existieren beide gleichzeitig in den Rechenzentren. Sie können jedoch keinem Gerät zugeordnet werden.Sobald Sie diese Richtlinie nach dem Hinzufügen eines Zielgeräts speichern, wird diese Konfiguration mit einem Fehler abgelehnt, wie im Bild gezeigt:

200536-Configuration-of-High-Availability-on-Se-01.png

  • Beide Verteidigungszentren müssen Zugang zum Internet haben.

Konfiguration der Hochverfügbarkeit

Dies sind die acht Schritte zur Konfiguration der Hochverfügbarkeit.

Schritt 1: Bestätigen Sie, dass die Software- und Hardwareversion zusammen mit der VDB-Version und der Regelaktualisierungsversion identisch sind.

200536-Configuration-of-High-Availability-on-Se-02.png

Schritt 2: Um Ihr Gerät sekundär zu machen, navigieren Sie zu System > Local > Registration (System > Lokal > Registrierung), wie im Bild gezeigt. Stellen Sie sicher, dass Sie auf diesem Rechenzentrum nicht konfiguriert sind.

200536-Configuration-of-High-Availability-on-Se-03.png

Schritt 3: Klicken Sie unter der Registerkarte Hohe Verfügbarkeit auf Klicken Sie hier, um dies als sekundäres Verteidigungszentrum einzurichten, wie im Bild gezeigt:

200536-Configuration-of-High-Availability-on-Se-04.png

Schritt 4: Wenn Sie Schritt 3 abgeschlossen haben, wird eine Seite angezeigt, wie im Bild gezeigt. Fügen Sie die IP-Adresse des primären RZ und den Pass-Key hinzu.  Stellen Sie sicher, dass Sie eine eindeutige NAT-ID für Geräte hinzufügen, die sich hinter einer Network Address Translation befinden.

200536-Configuration-of-High-Availability-on-Se-05.png

Schritt 5: Wenn die IP-Adresse verifiziert wurde, klicken Sie auf Registrieren. Sie sehen eine Seite, wie im Bild gezeigt:

200536-Configuration-of-High-Availability-on-Se-06.png

Das bedeutet, dass HA im sekundären RZ konfiguriert ist und Sie es im primären RZ konfigurieren müssen.

Schritt 6: Melden Sie sich bei dem Gerät an, das Sie als primäres Rechenzentrum konfigurieren möchten. Navigieren Sie zu System > Local > Registration (System > Lokal > Registrierung).

Klicken Sie auf der Registerkarte Hohe Verfügbarkeit auf Klicken Sie hier, um das primäre Verteidigungszentrum hinzuzufügen, wie im Bild gezeigt:

200536-Configuration-of-High-Availability-on-Se-07.png

Schritt 7: Nachdem Sie Schritt 6 abgeschlossen haben, wird eine Seite angezeigt, wie im Bild gezeigt:

200536-Configuration-of-High-Availability-on-Se-08.png

Fügen Sie die sekundäre DC-IP hinzu. Geben Sie denselben Registrierungsschlüssel und dieselbe NAT-ID an, die Sie bei der Konfiguration des sekundären Rechenzentrums erhalten haben.

Schritt 8: Wenn die Details der IP überprüft wurden, klicken Sie auf Registrieren. Nach Abschluss der Registrierung wird die Seite "Erfolg" angezeigt, wie im Bild gezeigt:

200536-Configuration-of-High-Availability-on-Se-09.png

Nach 5-10 Minuten sind die Konfiguration und Synchronisierung der HA abgeschlossen.

Die Konfiguration und Synchronisierung der HA dauert fast 5-10 Minuten.

Überprüfen

Schritt-für-Schritt-Konfiguration, um sicherzustellen, dass Ihre Rechenzentren korrekt für hohe Verfügbarkeit konfiguriert sind.

Schritt 1: Navigieren Sie zu System >Lokal >Registrierung auf dem primären Gerät, wie im Bild gezeigt:

200536-Configuration-of-High-Availability-on-Se-10.png

Schritt 2: Navigieren Sie zu System >Lokal >Registrierung. auf dem Sekundärgerät wie in der Abbildung gezeigt:

200536-Configuration-of-High-Availability-on-Se-11.png

Fehlerbehebung

Dieser Abschnitt enthält grundlegende Schritte zur Fehlerbehebung für Hochverfügbarkeit.

  • Stellen Sie sicher, dass beide Rechenzentren auf dem TCP-Port 8305 lauschen, da HA diesen Port zum Synchronisieren von Informationen und Heartbeats verwendet.
  • Stellen Sie sicher, dass der TCP-Port 8305 nicht im Netzwerk oder von zwischengeschalteten Geräten blockiert ist.
  • Die HA-Erstellung schlägt fehl, wenn ein veralteter Eintrag eines vorherigen Peer-Geräts vorhanden ist, das entfernt oder ersetzt wird. Die EM_Peers-Tabelle enthält weitere Informationen zu diesen Peer-Geräten.

Zugehörige Informationen

TAC Authored

Beiträge von Cisco Ingenieuren

  • Avinash N
    Cisco TAC-Techniker
  • Prashant Joshi
    Cisco TAC-Techniker

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.

Folgen Sie uns
PressemitteilungenEventsBlogsCommunity
Über Uns
Kontaktieren Sie uns
Mit Uns Arbeiten