Configuración de alta disponibilidad en los centros de defensa de la serie 3
Contenido
Introducción
Este documento describe la configuración de High Availability (HA) para los centros de defensa de la serie 3 (DC).
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Tecnología Firepower
- Conceptos básicos de alta disponibilidad
Componentes Utilizados
La información de este documento se basa en los dispositivos Firepower Defense Center de la serie 3 (DC1500, DC2000, DC3500, DC4000 ) que se ejecutan desde la versión de software 5.3 a la versión de software 5.4.1.6
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Antecedentes
Para garantizar la continuidad de las operaciones, la función de alta disponibilidad le permite designar centros de defensa redundantes para administrar dispositivos.El centro de defensa mantiene flujos de datos de eventos desde dispositivos administrados y ciertos elementos de configuración de estos dispositivos. Si un centro de defensa falla, puede supervisar su red sin interrupciones a través del otro centro de defensa.
Funciones de alta disponibilidad
- La sincronización HA es bidireccional, lo que significa que aunque haya un dispositivo primario y secundario designado, los cambios agregados en cualquiera de los dispositivos se replican en el otro.
- HA no requiere que los dispositivos estén conectados directamente. La conexión HA se puede realizar a través de un switch pero esta conexión debe estar en el mismo dominio de broadcast.
- Los dispositivos HA se comunican a través de su IP de administración en el puerto 8305.
- El tiempo de sincronización HA para un dispositivo es de cinco minutos, lo que significa que cada cinco minutos un dispositivo intenta sincronizar su configuración con su par. Dado que el tiempo necesario para la sincronización es específico de los dispositivos, acumulativamente, el tiempo de sincronización se puede maximizar a diez minutos.
- Si se requiere una nueva imagen para un peer HA específico, se recomienda interrumpir el HA y luego recrear la imagen.
- Si planea actualizar el clúster de HA, no es necesario interrumpir la HA. Cuando actualice de la versión 5.3.0 a la 5.4.0, actualice los dispositivos uno por uno y una vez que se actualicen realice una tarea de sincronización en el Centro de Defensa principal.
- La presencia de una política de acceso con el mismo nombre en ambos DC crea dos Políticas de control de acceso con el mismo nombre. Una política se configura localmente y la otra se sincroniza desde el par DC.
- Las licencias no se sincronizan entre pares de DC, por lo tanto, deben agregarse por separado a los DC.
- Todos los dispositivos administrados se agregan solamente a un DC. La configuración se sincroniza entre los DC de peer.
- Los dispositivos administrados envían registros a ambos DC.
- Los DC sincronizan las últimas acciones. Por ejemplo, si elimina un usuario de DC-1, el otro par DC-2 no sincroniza la configuración del usuario con DC-1. Se sincroniza la acción de eliminación y el usuario se pierde tanto en DC-1 como en DC-2.
Configuración compartida bidireccionalmente entre peers
Los DC de HA sincronizan las políticas bidireccionalmente. Estas configuraciones se sincronizan bidireccionalmente entre pares. También puede ver la mayoría de estas configuraciones con la ruta definida justo al lado:
Identidades y autenticación
- Configuración LDAP externa- Vaya a Sistema > Local > Administración de usuarios > Autenticación externa
- Usuarios (interno y externo)- Vaya alSistema > Local> Administración de usuarios> Usuarios
- Roles de usuario personalizados - Vaya aSystem > Local > User Management > User Roles
Informes
- Plantillas de informes - Vaya a Descripción general > Informes > Plantillas de informes
Políticas configurables (en la sección Políticas)
- Políticas de control de acceso, Políticas de intrusión, Políticas de archivos, Políticas SSL, Políticas de acceso a la red, Políticas y reglas de correlación, Lista blanca de cumplimiento y perfiles de tráfico.
- Reglas de intrusión (Local y SRU)- Vaya aPolicies > Intrusion> Editor de reglas > Reglas locales.
- Detección de red, atributos de host, comentarios de los usuarios de la detección de red, incluidas las notas y la importancia del host, la eliminación de hosts, aplicaciones y redes del mapa de red y la desactivación o modificación de vulnerabilidades.
- Detectores de aplicaciones personalizados
- Conexiones LDAP en políticas de usuario- Navegue aPolíticas > Usuarios
- Alertas - Navegue hasta Políticas> Acciones > Alertas (En Respuestas)
Información del dispositivo
- Reglas NAT - Navegar aDevices> NAT
- Reglas VPN - Vaya a Dispositivos > VPN
- Toda la información del dispositivo, incluido el nombre y su grupo, se sincroniza bidireccionalmente. La ubicación para el almacenamiento de registro de cada dispositivo también se sincroniza entre peers - Vaya aDispositivos > Administración de dispositivos
- Clasificaciones de reglas de intrusión personalizadas
- Impresiones digitales personalizadas activadas
- Política del sistema y política de estado
- Paneles personalizados, flujos de trabajo personalizados y tablas personalizadas
- Cambiar la configuración de reconciliación, instantáneas e informes
- Actualizaciones de reglas de Sourcefire (SRU), bases de datos de geolocalización (GeoDB) y actualizaciones de bases de datos de vulnerabilidades (VDB)
Configuración no sincronizada entre DC
- Información del agente de usuario en la política de usuario
- NMAP analiza
- Grupos de respuesta
- Módulos de remediación
- Instancias de remediación
- Cliente de entrada de host y generador de señales
- Perfiles de copia de seguridad
- Programaciones
- Licencias
- Actualizaciones
- Alertas de estado
Configurar
Requisitos previos para configurar la alta disponibilidad
- Los dispositivos deben tener la misma versión de software y hardware.
- Los dispositivos deben tener instalado el mismo VDB.
- Los dispositivos deben tener la misma SRU.
- Asegúrese de que ambos centros de defensa tengan una cuenta de usuario denominada admin con privilegios de administrador. Estas cuentas deben utilizar la misma contraseña.
- Asegúrese de que, aparte de la cuenta de administrador, los dos centros de defensa no tengan cuentas de usuario con nombres de usuario idénticos. Elimine o cambie el nombre de una de las cuentas de usuarios duplicadas antes de establecer una alta disponibilidad.
- Asegúrese de que ambos dispositivos no tengan ninguna política de control de acceso con el mismo nombre. Si hay dos políticas de control de acceso con el mismo nombre, ambas coexisten en los DC. Sin embargo, no pueden asociarse con ningún dispositivo.Una vez que se guarda esta política después de agregar un dispositivo de destino , esta configuración se rechaza con un error como se muestra en la imagen:
- Ambos centros de defensa deben tener acceso a Internet.
Configuración de alta disponibilidad
Estos son los 8 pasos para configurar la alta disponibilidad.
Paso 1. Confirme que la versión de software y hardware junto con la versión de VDB y la versión de actualización de reglas sean iguales.
Paso 2. Para hacer que su dispositivo sea secundario, navegue hasta Sistema > Local > Registro, como se muestra en la imagen. Asegúrese de que no tiene ninguna configuración en este DC.
Paso 3. En la pestaña Alta disponibilidad haga clic en Haga clic aquí para establecer esto como un centro de defensa secundario, como se muestra en la imagen:
Paso 4. Cuando complete el paso 3, se mostrará una página como se muestra en la imagen. Agregue la IP del DC primario y la clave de paso. Asegúrese de agregar un ID de NAT único para los dispositivos que están detrás de una traducción de direcciones de red.
Paso 5. Después de verificar la dirección IP, si es correcto, haga clic en Register. Puede ver una página como se muestra en la imagen:
Esto significa que HA está configurado en el DC secundario y que necesita configurarlo en el DC primario.
Paso 6. Inicie sesión en el dispositivo que desea configurar como DC principal. Vaya a Sistema > Local > Registro.
Bajo la pestaña Alta Disponibilidad, haga clic en Haga clic aquí para agregar como el Centro de Defensa principal, como se muestra en la imagen:
Paso 7. Después de completar el paso 6, se muestra una página como se muestra en la imagen:
Agregue la IP de DC secundaria. Proporcione la misma clave de registro y el ID de NAT que se proporcionó mientras configuraba el DC secundario.
Paso 8. Una vez verificados los detalles de la IP, haga clic en Register (Registrarse). Una vez que se complete el registro, la página de éxito se verá como se muestra en la imagen:
Después de 5-10 minutos, se completan la configuración y sincronización de HA.
Toma casi 5-10 minutos para completar la configuración y sincronización de HA
Verificación
Configuración paso a paso para verificar que los DC están configurados correctamente para alta disponibilidad.
Paso 1. Navegue hasta Sistema >Local >Registro en el dispositivo principal como se muestra en la imagen:
Paso 2. Vaya a Sistema >Local >Registro en el dispositivo secundario como se muestra en la imagen:
Troubleshoot
En esta sección se proporcionan los pasos básicos para la resolución de problemas con el fin de lograr una alta disponibilidad.
- Asegúrese de que ambos DC estén escuchando en el puerto TCP 8305, ya que HA utiliza este puerto para sincronizar información y latidos.
- Asegúrese de que el puerto TCP 8305 no esté bloqueado en la red ni por ningún dispositivo intermedio.
- La creación de HA falla si hay una entrada obsoleta de un dispositivo par anterior que se elimina o se reemplaza. La tabla EM_Peers proporciona más información sobre estos dispositivos de peer.
Comentarios