Introduction
Ce document décrit la configuration de la haute disponibilité (HA) pour les centres de défense de la série 3 (DC).
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Technologie Firepower
- Concepts de base de haute disponibilité
Components Used
Les informations de ce document sont basées sur les périphériques Firepower Defense Center Series 3 (DC1500, DC2000, DC3500, DC4000 ) exécutés de la version 5.3 au logiciel version 5.4.1.6
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Informations générales
Pour assurer la continuité des opérations, la fonction de haute disponibilité vous permet de désigner des centres de défense redondants pour gérer les périphériques.Le centre de défense gère les flux de données d'événements des périphériques gérés et certains éléments de configuration de ces périphériques. En cas de défaillance d'un centre de défense, vous pouvez surveiller votre réseau sans interruption via l'autre centre de défense.
Fonctionnalités de haute disponibilité
- La synchronisation HA est bidirectionnelle, ce qui signifie que même s'il existe un périphérique principal et secondaire désigné, les modifications ajoutées sur l'un des périphériques sont répliquées sur l'autre.
- La haute disponibilité ne nécessite pas que les périphériques soient connectés directement. La connexion HA peut être effectuée sur un commutateur, mais cette connexion doit se trouver dans le même domaine de diffusion.
- Les périphériques HA communiquent via leur adresse IP de gestion au port 8305.
- La durée de synchronisation haute disponibilité d'un périphérique est de cinq minutes, ce qui signifie qu'après cinq minutes, un périphérique tente de synchroniser sa configuration avec son homologue. Comme le temps nécessaire à la synchronisation est spécifique aux périphériques, le temps de synchronisation peut être cumulé jusqu'à dix minutes.
- Si une réimage est requise pour un homologue HA spécifique, il est recommandé de casser la HA, puis de la réinstaller.
- Si vous prévoyez de mettre à niveau le cluster HA, il n'est pas nécessaire de rompre la HA. Lorsque vous effectuez une mise à niveau de la version 5.3.0 vers la version 5.4.0, mettez à niveau les périphériques un par un et une fois qu'ils ont été mis à niveau, effectuez une tâche de synchronisation sur le centre de défense principal.
- La présence d'une stratégie d'accès portant le même nom sur les deux DC crée deux stratégies de contrôle d'accès du même nom. Une stratégie est configurée localement et l'autre est synchronisée à partir du contrôleur de domaine homologue.
Note: Vous ne pouvez pas ajouter de cible ou appliquer cette stratégie, car elle génère une erreur indiquant qu'il existe déjà une stratégie portant le même nom.
- Les licences ne sont pas synchronisées entre homologues CC. Par conséquent, elles doivent être ajoutées séparément aux contrôleurs de domaine.
- Tous les périphériques gérés sont ajoutés à un seul contrôleur de domaine. La configuration est synchronisée entre les DC homologues.
- Les périphériques gérés envoient des journaux aux deux DC.
- Les DC synchronisent les dernières actions. Par exemple, si vous supprimez un utilisateur du DC-1, l'autre homologue du DC-2 ne synchronise pas la configuration utilisateur au DC-1. Il synchronise l'action de suppression et l'utilisateur est perdu de DC-1 et DC-2.
Configuration partagée bidirectionnellement entre homologues
Les contrôleurs de domaine HA synchronisent les politiques de manière bidirectionnelle. Ces configurations sont synchronisées bidirectionnellement entre homologues. Vous pouvez également afficher la plupart de ces configurations avec le chemin défini juste à côté :
Identités et authentification
- Configuration LDAP externe - Accédez à System > Local > User Management > External Authentication.
- Utilisateurs (internes et externes)- Naviguez vers System > Local > User Management > Users
- Rôles utilisateur personnalisés - Naviguez jusqu'à System > Local > User Management > User Rôles
Rapports
- Modèles de rapport - Accédez à Vue d'ensemble > Rapports > Modèles de rapport
Stratégies configurables (Sous La Section Stratégies)
- Stratégies de contrôle d'accès, Stratégies d'intrusion, Stratégies de fichiers, Stratégies SSL, Stratégies d'accès au réseau, Stratégies et règles de corrélation, Liste blanche de conformité et profils de trafic.
- Règles d'intrusion (locales et SRU) - Naviguez vers Politiques > Intrusion > Éditeur de règles > Règles locales.
- Découverte de réseau, attributs d'hôte, commentaires des utilisateurs de découverte de réseau, y compris les notes et la criticité de l'hôte, la suppression des hôtes, des applications et des réseaux de la carte réseau et la désactivation ou la modification des vulnérabilités.
- Détecteurs d'applications personnalisés
- Connexions LDAP dans les stratégies utilisateur - Accédez à Stratégies > Utilisateurs
- Alertes - Accédez à Stratégies> Actions > Alertes (sous Réponses)
Informations sur le périphérique
- Règles NAT - Naviguez vers les périphériques> NAT
- Règles VPN - Naviguez vers Devices > VPN
- Toutes les informations de périphérique, y compris le nom et son groupe, sont synchronisées bidirectionnellement. L'emplacement de stockage du journal pour chaque périphérique est également synchronisé entre homologues - Naviguez vers Périphériques > Gestion des périphériques
- Classification des règles d'intrusion personnalisées
- empreintes personnalisées activées
- Politique système et politique de santé
- Tableaux de bord personnalisés,Workflows personnalisés et tables personnalisées
- Modifier les paramètres de rapprochement, de snapshots et de rapport
- Mises à jour des règles Sourcefire (SRU), bases de données de géolocalisation (GeoDB) et bases de données de vulnérabilité (VDB)
Configuration non synchronisée entre les DC
- Informations de l'agent utilisateur dans la stratégie utilisateur
- Analyses NMAP
- Groupes de réponses
- Modules de correction
- Instances de correction
- Client d'entrée EStream et Hôte
- Profils de sauvegarde
- Horaires
- Licences
- Mises à jour
- Alertes d'intégrité
Configuration
Conditions préalables à la configuration de la haute disponibilité
- Les périphériques doivent être de la même version logicielle et matérielle.
- Le même VDB doit être installé sur les périphériques.
- Les périphériques doivent avoir le même SRU.
- Assurez-vous que les deux centres de défense ont un compte d'utilisateur nommé admin avec des privilèges d'administrateur. Ces comptes doivent utiliser le même mot de passe.
- Assurez-vous qu'à l'exception du compte d'administration, les deux centres de défense ne disposent pas de comptes d'utilisateur avec des noms d'utilisateur identiques. Supprimez ou renommez l'un des comptes d'utilisateurs dupliqués avant d'établir une haute disponibilité.
- Assurez-vous que les deux périphériques n'ont aucune stratégie de contrôle d'accès portant le même nom. S'il existe deux stratégies de contrôle d'accès portant le même nom, elles coexistent toutes les deux sur les contrôleurs de domaine. Cependant, ils ne peuvent pas être associés à un périphérique.Une fois que vous avez enregistré cette stratégie après avoir ajouté un périphérique cible, cette configuration est rejetée avec une erreur comme l'illustre l'image :

- Les deux centres de défense doivent avoir accès à Internet.
Configurer la haute disponibilité
Voici les 8 étapes à suivre pour configurer la haute disponibilité.
Étape 1. Vérifiez que la version du logiciel et du matériel, ainsi que la version VDB et la version de mise à jour des règles sont identiques.

Étape 2. Afin de rendre votre périphérique secondaire, accédez à System > Local > Registration, comme indiqué dans l'image. Assurez-vous que vous n'avez aucune configuration sur ce contrôleur de domaine.

Étape 3. Sous l'onglet Haute disponibilité Cliquez sur Cliquez ici pour l'établir en tant que centre de défense secondaire, comme le montre l'image :

Étape 4. À l'étape 3, une page s'affiche comme illustré dans l'image. Ajoutez l'adresse IP du contrôleur de domaine principal et la clé de passe. Assurez-vous d'ajouter un ID NAT unique pour les périphériques qui se trouvent derrière une traduction d'adresses réseau.

Étape 5. Une fois l'adresse IP vérifiée, cliquez sur Register si vous avez raison. Vous voyez une page comme l'illustre l'image :

Cela signifie que la HA est configurée sur le contrôleur de domaine secondaire et que vous devez la configurer sur le contrôleur de domaine principal.
Étape 6. Connectez-vous au périphérique que vous souhaitez configurer en tant que contrôleur de domaine principal. Accédez à System > Local > Registration.
Sous l'onglet Haute disponibilité Cliquez sur Cliquez ici pour ajouter en tant que centre de défense principal, comme le montre l'image :

Étape 7. Une fois l'étape 6 terminée, une page s'affiche comme illustré dans l'image :

Ajoutez l'adresse IP CC secondaire. Fournissez la même clé d'enregistrement et le même ID NAT qui ont été fournis lors de la configuration du contrôleur de domaine secondaire.
Étape 8. Après vérification des détails de la PI, cliquez sur Register. Une fois l'enregistrement terminé, la page Réussite s'affiche comme illustré dans l'image :

Après 5 à 10 minutes, la configuration et la synchronisation de la haute disponibilité sont terminées.
Il faut de 5 à 10 minutes pour terminer la configuration et la synchronisation de la haute disponibilité
Vérification
Configuration pas à pas pour vérifier que vos DC sont configurés correctement pour une haute disponibilité.
Étape 1. Accédez à System >Local >Registration sur le périphérique principal, comme illustré dans l'image :

Étape 2. Accédez à System >Local >Registration sur le périphérique secondaire, comme l'illustre l'image :

Dépannage
Cette section décrit les étapes de dépannage de base pour une haute disponibilité.
- Assurez-vous que les deux contrôleurs de domaine écoutent sur le port TCP 8305, car HA utilise ce port pour synchroniser les informations et les pulsations.
- Assurez-vous que le port TCP 8305 n'est pas bloqué sur le réseau ou par des périphériques intermédiaires.
- La création de HA échoue si une entrée obsolète d'un périphérique homologue précédent est supprimée ou remplacée. La table EM_Peers fournit plus d'informations sur ces périphériques homologues.
Informations connexes