Mise en grappe de Threat Defense Virtual dans un nuage privé

La mise en grappe vous permet de regrouper plusieurs défense contre les menaces virtuelles en un seul périphérique logique. Une grappe offre toute la commodité d’un seul appareil (gestion, intégration dans un réseau), tout en offrant le débit accru et la redondance de plusieurs périphériques. Vous pouvez déployer des grappes défense contre les menaces virtuelles dans un nuage privé en utilisant VMware et KVM. Seul le mode pare-feu routé est pris en charge.


Remarque


Certaines fonctionnalités ne sont pas prises en charge lors de l’utilisation de la mise en grappe. Consultez Fonctionnalités et mise en grappe non prises en charge.


À propos de la mise en grappe de Threat Defense Virtual dans le nuage privé

Cette section décrit l’architecture de mise en grappe et son fonctionnement.

Intégration de la grappe dans votre réseau

La grappe se compose de plusieurs pare-feu agissant comme un seul périphérique. Pour agir comme une grappe, les pare-feu ont besoin de l’infrastructure suivante :

  • Réseau isolé pour la communication intra-grappe, appelé liaison de commande de grappe, qui utilise des interfaces VXLAN. Les VXLAN, qui agissent comme des réseaux virtuels de couche 2 sur des réseaux physiques de couche 3, permettent au défense contre les menaces virtuelles d’envoyer des messages en diffusion ou en multidiffusion sur la liaison de commande de grappe.

  • Accès de gestion à chaque pare-feu pour la configuration et la surveillance. Le déploiement défense contre les menaces virtuelles comprend une interface de gestion Management 0/0 que vous utiliserez pour gérer les nœuds de la grappe.

Lorsque vous placez la grappe dans votre réseau, les routeurs en amont et en aval doivent être en mesure d’équilibrer la charge des données entrant et provenant de la grappe à l’aide des interfaces individuelles de couche 3 et de l’une des méthodes suivantes :

  • Routage basé sur les politiques : Les routeurs en amont et en aval équilibrent la charge entre les nœuds à l’aide de cartes de routage et de listes de contrôle d’accès.

  • Routage à chemins multiples à coût égal : Les routeurs en amont et en aval effectuent l’équilibrage de la charge entre les nœuds à l’aide de routes statiques ou dynamiques à coût égal.


Remarque


Les canaux EtherChannels étendus de couche 2 ne sont pas pris en charge.


Rôles des nœuds de contrôle et de données

Un membre de la grappe est le nœud de contrôle. Si plusieurs nœuds de la grappe sont mis en ligne en même temps, le nœud de contrôle est déterminé par le paramètre de priorité. la priorité est réglée entre 1 et 100, 1 étant la priorité la plus élevée. Tous les autres membres sont des nœuds de données. Lorsque vous créez la grappe pour la première fois, vous spécifiez le nœud que vous souhaitez utiliser comme nœud de contrôle. Il deviendra le nœud de contrôle simplement parce qu’il s’agit du premier nœud ajouté à la grappe.

Tous les nœuds de la grappe partagent la même configuration. Le nœud que vous avez initialement spécifié comme nœud de contrôle remplacera la configuration sur les nœuds de données lorsqu’ils rejoindront la grappe. Vous n’avez donc qu’à effectuer la configuration initiale sur le nœud de contrôle avant de former la grappe.

Certaines fonctionnalités ne sont pas évolutives en grappe, et le nœud de contrôle gère tout le trafic pour ces fonctionnalités.

Interfaces individuelles

Vous pouvez configurer les interfaces de grappe en tant qu’interfaces individuelles.

Les interfaces individuelles sont des interfaces de routage normales, chacune ayant sa propre adresse IP locale utilisée pour le routage. L’adresse IP de la grappe principale pour chaque interface est une adresse fixe qui appartient toujours au nœud de contrôle. Lorsque le nœud de contrôle change, l’adresse IP de la grappe principale est déplacée vers le nouveau nœud de contrôle, de sorte que la gestion de la grappe se poursuit de façon transparente.

Comme la configuration de l’interface doit être configurée uniquement sur le nœud de contrôle, vous configurez un ensemble d’adresses IP à utiliser pour une interface donnée sur les nœuds de la grappe, y compris un pour le nœud de contrôle.

L’équilibrage de charge doit être configuré séparément sur le commutateur en amont.


Remarque


Les canaux EtherChannels étendus de couche 2 ne sont pas pris en charge.


Routage à base de règles

Lorsque vous utilisez des interfaces individuelles, chaque interface défense contre les menaces conserve ses propres adresses IP et MAC. Une méthode d’équilibrage de la charge est le routage basé sur les politiques (PBR).

Nous vous recommandons cette méthode si vous utilisez déjà PBR et que vous souhaitez tirer parti de votre infrastructure existante.

PBR prend des décisions de routage en fonction d’une carte de routage et d’une ACL. Vous devez répartir manuellement le trafic entre tous les défense contre les menaces d’une grappe. Comme PBR est statique, il se peut qu’il ne permette pas d’atteindre un résultat d’équilibrage de la charge optimale à tout moment. Pour obtenir les meilleures performances, nous vous recommandons de configurer la politique PBR de sorte que les paquets d’acheminement et de retour d’une connexion soient dirigés vers le même défense contre les menaces. Par exemple, si vous avez un routeur Cisco, la redondance peut être obtenue en utilisant Cisco IOS PBR avec Object Tracking. Le suivi d’objets Cisco IOS surveille chaque défense contre les menaces à l’aide d’un ping ICMP. PBR peut ensuite activer ou désactiver les cartes de routage en fonction de l’accessibilité d’un défense contre les menaces. Consultez les URL suivantes pour en savoir plus :

http://www.cisco.com/c/en/us/solutions/data-center-virtualization/intelligent-traffic-director/index.html

http://www.cisco.com/en/US/products/ps6599/products_white_paper09186a00800a4409.shtml

Routage à chemins multiples à coût égal

Lorsque vous utilisez des interfaces individuelles, chaque interface défense contre les menaces conserve ses propres adresses IP et MAC. Le routage à chemins multiples à coûts égaux (ECMP) est une méthode d’équilibrage de la charge.

Nous vous recommandons cette méthode si vous utilisez déjà ECMP et que vous souhaitez tirer parti de votre infrastructure existante.

Le routage ECMP peut transférer des paquets sur plusieurs « meilleurs chemins » qui se partagent la première place dans la mesure du routage. Comme pour l’EtherChannel, un hachage des adresses IP source et de destination ou des ports source et de destination peut être utilisé pour envoyer un paquet vers l’un des sauts suivants. Si vous utilisez des routes statiques pour le routage ECMP, la défaillance de défense contre les menaces peut provoquer des problèmes. le routage continue d’être utilisé et le trafic vers le défense contre les menaces défaillant sera perdu. Si vous utilisez des routes statiques, veillez à utiliser une fonctionnalité de surveillance de routage statique telle que le suivi d’objets. Nous recommandons d'utiliser des protocoles de routage dynamique pour ajouter et supprimer des routes, auquel cas vous devez configurer chaque défense contre les menaces pour qu'il participe au routage dynamique.

Liaison de commande de grappe

Chaque nœud doit dédier une interface en tant qu’interface VXLAN (VTEP) pour la liaison de commande de grappe. Pour en savoir plus sur VXLAN, consultez Configurer les interfaces VXLAN.

Point terminal du tunnel VXLAN

Les périphériques de point terminal de tunnel VXLAN (VTEP) effectuent l’encapsulation et la désencapsulation VXLAN. Chaque VTEP comporte deux types d’interface : une ou plusieurs interfaces virtuelles appelées interfaces VNI (VXLAN Network Identifier), et une interface normale appelée interface source du VTEP qui canalise les interfaces VNI entre les VTEP. L’interface source du VTEP est connectée au réseau IP de transport pour la communication de VTEP à VTEP.

Interface de la source VTEP

L’interface source du VTEP est une interface défense contre les menaces virtuelles classique à laquelle vous prévoyez associer l’interface VNI. Vous pouvez configurer une interface source de VTEP pour qu’elle agisse en tant que liaison de commande de grappe. L’interface source est réservée à une utilisation avec la liaison de commande de grappe uniquement. Chaque interface source de VTEP possède une adresse IP sur le même sous-réseau. Ce sous-réseau doit être isolé de tout autre trafic et ne doit inclure que les interfaces de liaison de commande de grappe.

Interface VNI

Une interface VNI est semblable à une interface VLAN : il s’agit d’une interface virtuelle qui sépare le trafic réseau sur une interface physique donnée au moyen de balisage. Vous ne pouvez configurer qu’une seule interface VNI. Chaque interface VNI possède une adresse IP sur le même sous-réseau.

VTEP homologues

Contrairement au VXLAN habituel pour les interfaces de données, qui autorise un seul homologue VTEP, la mise en grappe défense contre les menaces virtuelles vous permet de configurer plusieurs homologues.

Présentation du trafic de liaison de commande de grappe

Le trafic de liaison de commande de grappe comprend à la fois un trafic de contrôle et un trafic de données.

Le trafic de contrôle comprend :

  • Choix du nœud de contrôle.

  • Duplication de la configuration.

  • Surveillance de l'intégrité

Le trafic de données comprend :

  • Duplication de l’état.

  • Requêtes de propriété de connexion et transfert de paquets de données.

Réplication de la configuration

Tous les nœuds de la grappe partagent une configuration unique. Vous pouvez uniquement apporter des modifications à la configuration sur le nœud de contrôle (à l’exception de la configuration de démarrage) et les modifications sont automatiquement synchronisées avec tous les autres nœuds de la grappe.

le réseau de gestion

Vous devez gérer chaque nœud à l'aide de l'interface de gestion; la gestion à partir d’une interface de données n’est pas prise en charge avec la mise en grappe.

Licences pour la mise en grappe Threat Defense Virtual

Chaque nœud de grappe défense contre les menaces virtuelles nécessite la même licence de niveau de performance. Nous vous recommandons d’utiliser le même nombre de CPU et de mémoire pour tous les membres, sinon les performances seront limitées sur tous les nœuds pour correspondre au membre le moins capable. Le niveau de débit sera répliqué du nœud de contrôle à chaque nœud de données afin qu’ils correspondent.

Vous attribuez des licences de fonctionnalités à la grappe dans son ensemble, et non à des nœuds individuels. Cependant, chaque nœud de la grappe consomme une licence distincte pour chaque fonctionnalité. La fonctionnalité de mise en grappe elle-même ne nécessite aucune licence.

Lorsque vous ajoutez le nœud de contrôle au centre de gestion, vous pouvez préciser les licences de fonctionnalités que vous souhaitez utiliser pour la grappe. Avant de créer la grappe, les licences attribuées aux nœuds de données importent peu; les paramètres de licence du nœud de contrôle sont répliqués sur chacun des nœuds de données. Vous pouvez modifier les licences pour la grappe dans la zone Périphériques > Gestion des périphériques > Grappe > Licence.


Remarque


Si vous ajoutez la grappe avant que le centre de gestion ne soit sous licence (et s’exécute en mode d’évaluation), alors, lorsque vous obtenez la licence pour le centre de gestion, vous pouvez rencontrer des perturbations de trafic lorsque vous déployez des modifications de politique sur la grappe. Lors du passage en mode sous licence, toutes les unités de données quittent la grappe, puis la rejoignent.


Exigences et conditions préalables pour la mise en grappe Threat Defense Virtual

Exigences du modèle

  • FTDv5, FTDv10, FTDv20, FTDv30, FTDv50, FTDv100

  • VMware ou KVM

  • Sur Cisco Secure Firewall version 7.3 et les versions antérieures, un maximum de 4 nœuds dans une grappe dans une configuration 2x2 est pris en charge. Vous pouvez configurer un maximum de deux hôtes avec un maximum de deux instances virtuelles de défense contre les menaces sur chaque hôte.

Rôles utilisateur 

  • Admin

  • Administrateur d’accès

  • Administrateur de réseau

Configuration matérielle et logicielle requise

Pour toutes les unités d’une grappe :

  • La réservation de trame étendue doit être activée pour la liaison de commande de grappe. Vous pouvez activer la réservation de trames étendues dans la configuration du jour 0 lorsque vous déployez défense contre les menaces virtuelles en réglant « DeploymentType » (Type de déploiement) sur : « Cluster » (grappe). Sinon, vous devrez redémarrer chaque nœud pour activer les trames étendues une fois que la grappe est formée et qu’elle est intègre.

  • Pour KVM, vous devez utiliser le partitionnement dur du processeur (épinglage de la CPU).

  • Il doit s’agir du même niveau de performance. Nous vous recommandons d’utiliser le même nombre de CPU et de mémoire pour tous les nœuds, sinon les performances seront limitées sur tous les nœuds pour correspondre au nœud le moins performant.

  • L'accès au centre de gestion doit provenir de l'interface de gestion; la gestion de l’interface de données n’est pas prise en charge.

  • Doit exécuter le logiciel identique, sauf lors d’une mise à niveau d’image. La mise à niveau rapide est prise en charge.

  • Il doit appartenir au même domaine.

  • Il doit appartenir au même groupe.

  • Ne doit avoir aucun déploiement en attente ou en cours.

  • Le nœud de contrôle ne doit avoir aucune fonctionnalité non prise en charge configurée (voir Fonctionnalités et mise en grappe non prises en charge).

  • Aucun VPN ne doit être configuré sur les nœuds de données. Le nœud de contrôle peut être doté d’un VPN de site à site.

Centre de gestion Exigences

  • Assurez-vous que l’option Serveur NTP centre de gestion est définie sur un serveur fiable accessible par tous les nœuds de la grappe pour assurer une bonne synchronisation de l’horloge. Par défaut, défense contre les menaces virtuelles utilise le même serveur NTP que centre de gestion. Si l’heure n’est pas la même sur tous les nœuds de la grappe, ces derniers peuvent être supprimés automatiquement de la grappe.

Exigences du commutateur

  • Assurez-vous d'achever la configuration du commutateur avant de configurer la mise en grappe. Assurez-vous que les ports connectés à la liaison de commande de grappe ont une MTU correcte (plus élevée) configurée. Par défaut, la MTU de la liaison de commande de grappe est supérieure de 154 octets aux interfaces de données. Si les commutateurs ont une incompatibilité MTU, la formation de la grappe échouera.

Lignes directrices pour la mise en grappe virtuelle Threat Defense

Haute disponibilité

La haute disponibilité n'est pas prise en charge par la mise en grappe.

IPv6

La liaison de commande de grappe est uniquement prise en charge avec IPv4.

Directives supplémentaires

  • Lorsque des modifications importantes sont apportées à la topologie (ajout ou suppression d'une interface EtherChannel, activation ou désactivation d'une interface sur défense contre les menaces virtuelles, ajout d'un commutateur supplémentaire pour former un VSS ou un vPC), il convient de désactiver la fonction de contrôle de santé et de désactiver la surveillance des interfaces affectées par les modifications de la topologie. Lorsque la modification de la topologie est terminée et que la modification de la configuration est synchronisée avec toutes les unités, vous pouvez réactiver le contrôle d’intégrité.

  • lors de l’ajout d’une unité à une grappe existante ou lors du rechargement d’une unité, il se produira une perte temporaire et limitée de paquets ou de connexion; c’est un comportement attendu. Dans certains cas, les paquets abandonnés peuvent bloquer votre connexion; Par exemple, la suppression d’un paquet FIN/ACK pour une connexion FTP entraînera le blocage du client FTP. Dans ce cas, vous devez rétablir la connexion FTP.

  • Pour les connexions TLS/SSL déchiffrées, les états de déchiffrement ne sont pas synchronisés, et si le propriétaire de la connexion échoue, les connexions déchiffrées sont réinitialisées. De nouvelles connexions devront être établies avec une nouvelle unité. Les connexions qui ne sont pas déchiffrées (elles correspondent à une règle « ne pas déchiffrer ») ne sont pas affectées et sont répliquées correctement.

  • Nous ne prenons pas en charge les VXLAN pour les interfaces de données; seule la liaison de commande de grappe prend en charge VXLAN.

Valeurs par défaut pour la mise en grappe

  • L'ID du système cLACP est généré automatiquement et la priorité du système est 1 par défaut.

  • La fonction de vérification de l’intégrité de la grappe est activée par défaut avec un délai d’attente de 3 secondes. La surveillance de l’intégrité des interfaces est activée sur toutes les interfaces par défaut.

  • La fonction de jonction automatique de la grappe en cas d’échec de la liaison de commande de grappe offre des tentatives illimitées toutes les 5 minutes.

  • La fonction de jonction automatique de la grappe pour une interface de données défaillante effectue 3 essais toutes les 5 minutes, l’intervalle croissant étant fixé à 2.

  • Un délai de duplication de connexion de 5 secondes est activé par défaut pour le trafic HTTP.

Configurer la mise en grappe Threat Defense Virtual

Pour configurer la mise en grappe après avoir déployé vos défense contre les menaces virtuelles, effectuez les tâches suivantes.

Ajouter des périphériques au centre de gestion

Avant de configurer la mise en grappe, déployez chaque nœud de la grappe, puis ajoutez les périphériques en tant qu’unités autonomes dans centre de gestion.

Procédure


Étape 1

Déployez chaque nœud de la grappe en fonction de Guide de démarrage de Cisco Secure Firewall Threat Defense Virtual.

Pour toutes les unités d’une grappe :

  • La réservation de trame étendue doit être activée pour la liaison de commande de grappe. Vous pouvez activer la réservation de trames étendues dans la configuration du jour 0 lorsque vous déployez défense contre les menaces virtuelles en réglant « DeploymentType » (Type de déploiement) sur : « Cluster » (grappe). Sinon, vous devrez redémarrer chaque nœud pour activer les trames étendues une fois que la grappe est formée et qu’elle est intègre.

  • Pour KVM, vous devez utiliser le partitionnement dur du processeur (épinglage de la CPU).

Étape 2

Ajoutez chaque nœud à centre de gestion en tant que périphérique autonome dans le même domaine et groupe.

Vous pouvez créer une grappe avec un seul périphérique, puis ajouter d’autres nœuds ultérieurement Les paramètres initiaux (licence, politique de contrôle d’accès) que vous définissez lorsque vous ajoutez un périphérique seront hérités par tous les nœuds de la grappe à partir du nœud de contrôle. Vous choisirez le nœud de contrôle lors de la formation de la grappe.


Créer une grappe

Créer une grappe à partir d’un ou de plusieurs périphériques dans centre de gestion.

Avant de commencer

Certaines fonctionnalités ne sont pas compatibles avec la mise en grappe. Vous devez donc attendre pour effectuer la configuration d’avoir activé la mise en grappe. Certaines fonctionnalités bloquent la création de grappes si elles sont déjà configurées. Par exemple, ne configurez aucune adresse IP sur les interfaces, ou des types d’interface non pris en charge tels que les BVI.

Procédure


Étape 1

Choisissez Périphériques > Gestion des périphériques, puis sélectionnez Add > Add Cluster(Ajouter > Ajouter une grappe).

L'assistant d'ajout de grappe apparaît.

Illustration 1. Ajout de Cluster Wizard (Assistant Grappe)
Assistant d'ajout de grappe

Étape 2

Spécifiez un nom de grappe et une clé de grappe d’authentification pour le trafic de contrôle.

  • Nom de la grappe : chaîne ASCII de 1 à 38 caractères.

  • Clé de la grappe : chaîne ASCII de 1 à 38 caractères. La valeur de la clé de la grappe est utilisée pour générer la clé de chiffrement. Ce chiffrement n’influe pas sur le trafic datapath, y compris sur la mise à jour de l’état de connexion et les paquets transférés, qui sont toujours envoyés en clair.

Étape 3

Pour le nœud de contrôle, définissez les paramètres suivants :

  • Nœud : choisissez le périphérique que vous souhaitez utiliser comme nœud de contrôle initialement. Lorsque centre de gestion forme la grappe, il ajoute d’abord ce nœud à cette dernière pour qu’il devienne le nœud de contrôle.

    Remarque

     

    Si vous voyez une icône Erreur (icône erreur) à côté du nom du nœud, cliquez sur l’icône pour afficher les problèmes de configuration. Vous devez annuler la formation de grappes, résoudre les problèmes, puis revenir à la formation de grappes. Par exemple :

    Illustration 2. Problèmes de configuration
    Problèmes de configuration

    Pour résoudre les problèmes ci-dessus, supprimez la licence VPN non prise en charge et déployez les modifications de configuration en attente sur le périphérique.

  • VXLAN Network Identifier (VNI) : spécifiez un sous-réseau IPv4 pour le réseau VNI; IPv6 n’est pas pris en charge pour ce réseau. Précisez un sous-réseau 24, 25, 26ou 27. Une adresse IP sera attribuée automatiquement à chaque nœud de ce réseau. Le réseau VNI est le réseau virtuel chiffré qui s’exécute sur le réseau physique VTEP.

  • Cluster Control Link (liaison de commande de grappe): Choisissez l'interface physique que vous souhaitez utiliser pour la liaison de commande de grappe.

  • Réseau de point terminal de tunnel virtuel (VTEP) : spécifiez un sous-réseau IPv4 pour le réseau d’interface physique; IPv6 n’est pas pris en charge pour ce réseau. Le réseau VTEP est un réseau différent du réseau VNI, et il est utilisé pour la liaison de commande de grappe physique.

  • Adresse IPv4 VTEP : ce champ sera rempli automatiquement avec la première adresse du réseau VTEP.

  • Priorité : pour définir la priorité de ce nœud pour les sélections de nœud de contrôle. La priorité est comprise entre 1 et 100, 1 représentant la priorité la plus élevée. Même si vous définissez la priorité sur une valeur inférieure à celle des autres nœuds, ce nœud sera toujours le nœud de contrôle lors de la formation de la grappe.

Étape 4

Pour les nœuds de données (facultatif), cliquez sur Add a data node (Ajouter un nœud de données) pour ajouter un nœud à la grappe.

Vous pouvez former la grappe uniquement avec le nœud de contrôle pour accélérer la formation de cette dernière, ou vous pouvez ajouter tous les nœuds maintenant. Définissez les éléments suivants pour chaque nœud de données :

  • Nœud : choisissez le périphérique que vous souhaitez ajouter.

    Remarque

     

    Si vous voyez une icône Erreur (icône erreur) à côté du nom du nœud, cliquez sur l’icône pour afficher les problèmes de configuration. Vous devez annuler la formation de grappes, résoudre les problèmes, puis revenir à la formation de grappes.

  • VTEP IPv4 Address (adresse VTEP IPv4) : ce champ sera rempli automatiquement avec la prochaine adresse sur le réseau VTEP.

  • Priorité : pour définir la priorité de ce nœud pour les sélections de nœud de contrôle. La priorité est comprise entre 1 et 100, 1 représentant la priorité la plus élevée.

Étape 5

Cliquez sur Continue (Continuer). Passez en revue le résumé, puis cliquez sur Save(Enregistrer).

La configuration de démarrage de la grappe est enregistrée sur les nœuds de la grappe. La configuration de démarrage comprend l’interface VXLAN utilisée pour la liaison de commande de grappe.

Le nom de la grappe s’affiche sur la page Devices (Périphériques) > Device Management (gestion des périphériques) ; développez la grappe pour voir les nœuds de la grappe.

Illustration 3. Gestion des grappes
Gestion des grappes

Un nœud en cours d’enregistrement affiche l’icône de chargement.

Illustration 4. Inscription des nœuds
Inscription des nœuds
Vous pouvez surveiller l’enregistrement des nœuds de la grappe en cliquant sur l’icône Notifications et en sélectionnant Tâches. centre de gestion met à jour la tâche d’enregistrement de grappe à mesure que chaque nœud s’enregistre.

Étape 6

Configurez les paramètres spécifiques au périphérique en cliquant sur le Edit (edit icon) de la grappe.

La majeure partie de la configuration peut être appliquée à la grappe dans son ensemble, et non aux nœuds de la grappe. Par exemple, vous pouvez modifier le nom d’affichage par nœud, mais vous ne pouvez configurer que des interfaces pour l’ensemble de la grappe.

Étape 7

Sur l’écran Devices (Périphériques) > Device Management (Gestion des périphériques) > Cluster (grappe), vous voyez les paramètres Général et autres paramètres pour la grappe.

Illustration 5. Paramètres de la grappe
Paramètres de la grappe
Consultez les éléments suivants, propres à la grappe, dans la zone General (Général) :
  • General > Name (Général > Nom) : modifiez le nom d'affichage de la grappe en cliquant sur le Edit (edit icon).

    Définissez ensuite le champ Name (Nom).

  • General > View (Général > Vue) : Cliquez sur le lien View (Vue) pour ouvrir la boîte de dialogue Cluster Status (état de la grappe).

    La boîte de dialogue Cluster Status (état de la grappe) vous permet également de relancer l’enregistrement de l’unité de données en cliquant sur Reconcile All (Rapprocher tout).

Étape 8

Sur la page Devices (Périphériques) > Device Management (Gestion des périphériques) > Devices (Périphériques), vous pouvez choisir chaque membre de la grappe dans le menu déroulant supérieur droit et configurer les paramètres suivants.

Illustration 6. Paramètres du périphérique
Paramètres du périphérique
Illustration 7. Choisir un nœud
Choisir un nœud
  • General > Name (Général > Nom) : modifiez le nom d'affichage du membre de la grappe en cliquant sur le Edit (edit icon).

    Définissez ensuite le champ Name (Nom).

  • Gestion > Hôte : si vous modifiez l’adresse IP de gestion dans la configuration du périphérique, vous devez correspondre à la nouvelle adresse dans centre de gestion pour qu’elle puisse atteindre le périphérique sur le réseau. Désactivez d’abord la connexion, modifiez l’adresse de l’hôte dans la zone Management (gestion), puis réactivez la connexion.

Étape 9

Si vous avez déployé vos nœuds de grappe sans activer la réservation de trames étendues, redémarrez tous les nœuds de la grappe pour activer les trames étendues, qui sont nécessaires pour la liaison de commande de grappe. Voir Arrêter ou redémarrer le périphérique.

Si vous avez déjà activé la réservation de trame étendue, vous pouvez ignorer cette étape.

Étant donné que le trafic de la liaison de commande de grappe comprend la transmission de paquets de données, celle-ci doit prendre en charge la taille totale d'un paquet de données, plus les surcharges de trafic de la grappe (100 octets) et les surcharges VXLAN (54 octets). Lorsque vous créez la grappe, la MTU est définie à 154 octets au-dessus de la MTU d’interface de données la plus élevée (1654 par défaut). Si vous augmentez ultérieurement la MTU de l’interface de données, veillez à augmenter également la MTU de la liaison de commande de grappe. Par exemple, comme la MTU maximale est de 9198 octets, la MTU de l’interface de données la plus élevée peut s’établir à 9098, tandis que la liaison de commande de grappe peut être définie sur 9198. Consultez Configurer la MTU.

Remarque

 

Assurez-vous de configurer les commutateurs connectés à la liaison de commande de grappe sur la MTU (supérieure) appropriée; sinon, la formation de la grappe échouera.


Interfaces de configuration

Cette section décrit comment configurer les interfaces pour qu’elles soient compatibles avec la mise en grappe. Les interfaces individuelles sont des interfaces de routage normales, chacune ayant sa propre adresse IP prise dans un ensemble d’adresses IP. L’adresse IP de la grappe principale est une adresse fixe pour la grappe qui appartient toujours au nœud de contrôle actuel. Toutes les interfaces de données doivent être des interfaces individuelles.

Pour l'interface de dépistage, vous pouvez configurer un ensemble d'adresses IP ou utiliser DHCP; Seule l’interface de dépistage prend en charge l’obtention d’une adresse de DHCP. Pour utiliser DHCP, n'utilisez pas cette procédure; configurez-le plutôt comme d’habitude (voir Configurer les interfaces en mode routé).


Remarque


Vous ne pouvez pas utiliser les sous-interfaces.


Procédure


Étape 1

Choisissez Objects > Object Management > Address Pools pour ajouter un ensemble d’adresses IPv4 et/ou IPv6. Consultez Réserves d’adresses.

Incluez au moins autant d’adresses qu’il y a d’unités dans la grappe. L’adresse IP virtuelle ne fait pas partie de ce ensemble, mais doit se trouver sur le même réseau. Vous ne pouvez pas déterminer l’adresse locale exacte attribuée à chaque unité à l’avance.

Étape 2

Sélectionnez Devices (périphériques) > Device Management (gestion des périphériques), et cliquez sur Edit (edit icon) à côté de la grappe.

Étape 3

Cliquez sur Interfaces, puis sur Edit (edit icon) pour une interface de données.

Étape 4

Dans IPv4, entrez l'adresse IP et le masque. Cette adresse IP est une adresse fixe pour la grappe et appartient toujours à l’unité de contrôle actuelle.

Étape 5

Dans la liste déroulante IPv4 Address Pool (groupe d’adresses IPv4), choisissez l’ensemble d’adresses que vous avez créé.

Remarque

 

Si vous souhaitez affecter manuellement une adresse MAC à cette interface, vous devez créer un mac-address pool à l’aide de FlexConfig.

Étape 6

Sur IPv6 > Basic, dans la liste déroulante IPv6 Address Pool (groupe d’adresses IPv6), choisissez l’ensemble d’adresses que vous avez créées.

Étape 7

Configurez les autres paramètres de l’interface normalement.

Étape 8

Cliquez sur Save (enregistrer).

Vous pouvez maintenant aller à Deploy (déployer) > Deployment (déploiement) afin de déployer la politique sur les appareils attribués. Les modifications ne sont actives que lorsque vous les déployez.


Configurer les paramètres de surveillance de l’intégrité de la grappe

La section Paramètres du moniteur d'intégrité de la grappe de la page Cluster (Grappe) affiche les paramètres décrits dans le tableau ci-dessous.

Illustration 8. Paramètres de surveillance de l’intégrité de la grappe
Paramètres de surveillance de l’intégrité de la grappe
Tableau 1. Champs de la table Paramètres de surveillance de l’intégrité de la grappe

Champ

Description

Délai d’expiration

Temps de retenue

Pour déterminer l'état de santé du système, les nœuds de la grappe envoient aux autres nœuds des messages de pulsation sur la liaison de commande de la grappe. Si un nœud ne reçoit aucun message de pulsation d'un nœud homologue au cours de la période de rétention, le nœud homologue est considéré comme ne répondant pas ou comme étant inactif.

Délai de l’antirebond de l’interface

L’heure de l’antirebond de l’interface est le délai avant que le nœud considère une interface comme défaillante et que le nœud ne soit retiré de la grappe.

Interfaces surveillées

La vérification de l’intégrité de l’interface surveille les défaillances de liaison. Si tous les ports physiques d’une interface logique donnée tombent en panne sur un nœud particulier, mais qu’il y a des ports actifs sous la même interface logique sur d’autres nœuds, le nœud est supprimé de la grappe. Le délai avant que le nœud ne supprime un membre de la grappe dépend du type d’interface et du fait que le nœud soit établi ou en voie de se joindre à la grappe.

Application de service

Indique si Snort et les processus de disque plein sont surveillés.

Interfaces non surveillées

Affiche les interfaces non surveillées.

Paramètres de la jonction automatique

Interface de la grappe

Affiche les paramètres de jonction automatique en cas d’échec de la liaison de commande de grappe.

Interfaces de données

Affiche les paramètres de jonction automatique en cas de défaillance de l’interface de données.

Système

Affiche les paramètres de jonction automatique pour les erreurs internes. Les défaillances internes comprennent : des états d’applications non uniformes; et ainsi de suite.


Remarque


Si vous désactivez la vérification de l’intégrité du système, les champs qui ne s’appliquent pas lorsque la vérification de l’intégrité du système est désactivée ne s’afficheront pas.


Vous pouvez utiliser ces paramètres dans cette section.

Vous pouvez surveiller n’importe quel ID de canal de port, tout ID d’interface physique unique, ainsi que les processus Snort et de disque plein. La surveillance de l’intégrité n’est pas effectuée sur les sous-interfaces VLAN ou les interfaces virtuelles telles que les VNI ou les BVI. Vous ne pouvez pas configurer la surveillance pour la liaison de commande de grappe; elle est toujours surveillée.

Procédure


Étape 1

Choisissez Devices (appareils) > Device Management (gestion des appareils)

Étape 2

À côté de la grappe que vous souhaitez modifier, cliquez sur Edit (edit icon)

Dans un déploiement multidomaine, si vous n'êtes pas dans un domaine enfant, le système vous invite à basculer.

Étape 3

Cliquez sur Cluster (Grappe).

Étape 4

Dans la section Cluster Health Monitor Settings (paramètres de surveillance d'intégrité de la grappe), cliquez sur Edit (edit icon)

Étape 5

Désactivez la fonction de vérification de l’intégrité du système en cliquant sur le curseur Vérification de l’intégrité.

Illustration 9. Désactiver la vérification de l’intégrité du système
Désactiver la vérification de l’intégrité du système

Lorsque des modifications de topologie surviennent (par exemple, ajout ou suppression d’une interface de données, activation ou désactivation d’une interface sur le nœud ou le commutateur, ajout d’un commutateur supplémentaire pour former un VSS ou un vPC), vous devez désactiver le contrôle d’intégrité et désactiver la surveillance d’interface pour les interfaces désactivées. Lorsque la modification de la topologie est terminée et que la modification de la configuration est synchronisée avec tous les nœuds, vous pouvez réactiver la fonction de contrôle d'intégrité du système et les interfaces surveillées.

Étape 6

Configurez le temps d’attente et le temps d’antirebond de l’interface.

  • Hold Time (Temps d’attente) : permet de définir le délai d’attente pour déterminer l’intervalle de temps entre les messages d’état de pulsation du nœud, entre 0,3 et 45 secondes; La valeur par défaut est de 3 secondes.

  • Interface Debounce Time (Temps d’antirebond de l’interface) : définit le temps d’antirebond entre 300 et 9000 ms. La valeur par défaut est 500ms. Des valeurs inférieures permettent une détection plus rapide des défaillances d’interface. Notez que la configuration d’un délai antirebond inférieur augmente les risques de faux positifs. Lorsqu’une mise à jour d’état d’interface se produit, le nœud attend le nombre de millisecondes spécifié avant de marquer l’interface comme en échec, et le nœud est supprimé de la grappe. Dans le cas d’un EtherChannel qui passe de l’état inactif à un état opérationnel (par exemple, le commutateur a rechargé ou le commutateur a activé un EtherChannel), un temps d’antirebond plus long peut empêcher l’interface de sembler être défaillante sur un nœud de la grappe juste , car un autre nœud de la grappe a été plus rapide à regrouper les ports.

Étape 7

Personnalisez les paramètres de grappe de la jonction automatique après l’échec de la vérification de l’intégrité.

Illustration 10. Configurer les paramètres de jonction automatique
Configurer les paramètres de jonction automatique
Définissez les valeurs suivantes pour l’interface de grappe, l’interface de données et le système (les défaillances internes comprennent : l’expiration du délai de synchronisation des applications, des états d’applications incohérents, etc.) :
  • Tentatives – Définit le nombre de tentatives de jonction, entre -1 et 65 535. 0 désactive la jonction automatique. La valeur par défaut pour l’ interface de la grappe est -1 (illimité). La valeur par défaut pour l’interface de données et le système est 3.

  • interval Between Attempts (intervalle entre les tentatives) : Permet de définir la durée de l'intervalle en minutes entre les tentatives de jonction en sélectionnant un intervalle entre 2 et 60. La valeur par défaut est 5 minutes. Le temps total maximum pendant lequel le nœud tente de rejoindre la grappe est limité à 14400 minutes (10 jours) à partir du moment de la dernière défaillance.

  • Interval Variation (Variation de l'intervalle) : définit si la durée de l’intervalle augmente. définissez la valeur entre 1 et 3 : 1 (pas de changement); 2 (2 x la durée précédente), ou 3 (3 x la durée précédente). Par exemple, si vous définissez la durée de l'intervalle à 5 minutes et la variation à 2, la première tentative survient après 5 minutes; la deuxième tentative, après 10 minutes (2 x 5); la troisième tentative, après 20 minutes (2 x 10), etc. La valeur par défaut est 1 pour l’ interface de grappe et 2 pour l’ interface de données et le système.

Étape 8

Configurez les interfaces surveillées en les déplaçant dans la fenêtre Interfaces surveillées ou interfaces non surveillées. Vous pouvez également cocher ou décocher la case Enable Service Application Monitoring (activer la surveillance des applications de service) pour activer ou désactiver la surveillance Snort et des processus de surveillance de disque plein.

Illustration 11. configurer les interfaces surveillées
Configurer les interfaces surveillées

La vérification de l’intégrité de l’interface surveille les défaillances de liaison. Si tous les ports physiques d’une interface logique donnée tombent en panne sur un nœud particulier, mais qu’il y a des ports actifs sous la même interface logique sur d’autres nœuds, le nœud est supprimé de la grappe. Le délai avant que le nœud ne supprime un membre de la grappe dépend du type d’interface et du fait que le nœud soit établi ou en voie de se joindre à la grappe. Le contrôle de l’intégrité est activé par défaut pour toutes les interfaces et pour les processus Snort et de détection du disque plein.

Vous pouvez souhaiter désactiver la surveillance de l'état des interfaces non essentielles, par exemple l'interface de diagnostic.

Lorsque des modifications de topologie surviennent (par exemple, ajout ou suppression d’une interface de données, activation ou désactivation d’une interface sur le nœud ou le commutateur, ajout d’un commutateur supplémentaire pour former un VSS ou un vPC), vous devez désactiver le contrôle d’intégrité et désactiver la surveillance d’interface pour les interfaces désactivées. Lorsque la modification de la topologie est terminée et que la modification de la configuration est synchronisée avec tous les nœuds, vous pouvez réactiver la fonction de contrôle d'intégrité du système et les interfaces surveillées.

Étape 9

Cliquez sur Save (enregistrer).

Étape 10

Déployer les changements de configuration.


Gérer les nœuds de la grappe

Ajouter un nouveau nœud de grappe

Vous pouvez ajouter un ou plusieurs nouveaux nœuds de grappe à une grappe existante.

Procédure


Étape 1

Choisissez Périphériques > Gestion des périphériques, cliquez sur le bouton Plus (icône plus) de la grappe et choisissez Ajouter des nœuds.

Illustration 12. Ajouter des nœuds
Ajouter des nœuds

Le Manage Cluster Wizard (assistant de gestion des grappes) s'affiche.

Étape 2

Dans le menu Nœud, choisissez un périphérique et réglez l’adresse IP et la priorité si vous le souhaitez.

Illustration 13. Assistant de gestion des grappes
Assistant de gestion des grappes

Étape 3

Pour ajouter des nœuds supplémentaires, cliquez sur Add a data node (Ajouter un nœud de données).

Étape 4

Cliquez sur Continue (Continuer). Passez en revue le résumé, puis cliquez sur Save(Enregistrer).

Le nœud en cours d’enregistrement affiche l’icône de chargement.

Illustration 14. Inscription des nœuds
Inscription des nœuds

Vous pouvez surveiller l’enregistrement des nœuds de la grappe en cliquant sur l’icône Notifications et en sélectionnant Tâches.


Séparer le nœud

Vous pouvez supprimer un nœud de la grappe pour qu’il devienne un périphérique autonome. Vous ne pouvez pas rompre le nœud de contrôle à moins de rompre la grappe entière. La configuration du nœud de données a été effacée.

Procédure


Étape 1

Choisissez Devices > Device Management (Périphériques > Gestion des périphériques), cliquez sur le bouton Plus (icône plus) pour le nœud que vous souhaitez rompre, puis choisissez Break Node (Séparer le nœud).

Illustration 15. Séparer le nœud
Séparer le nœud

Vous pouvez éventuellement séparer un ou plusieurs nœuds à partir du menu Plus de la grappe en sélectionnant Break Nodes (Séparer les nœuds).

Étape 2

Vous êtes invité à confirmer la séparation; cliquez sur Yes(oui).

Illustration 16. Confirmer la rupture
Confirmer la séparation

Vous pouvez surveiller la rupture du nœud de la grappe en cliquant sur l’icône Notifications et en sélectionnant Tasks (Tâches).


Rompre la grappe

Vous pouvez rompre la grappe et convertir tous les nœuds en périphériques autonomes. Le nœud de contrôle conserve la configuration de l’interface et de la politique de sécurité, tandis que la configuration des nœuds de données est effacée.

Procédure


Étape 1

Vérifiez que tous les nœuds de la grappe sont gérés par centre de gestion lors du rapprochement des nœuds. Consultez Rapprocher les nœuds de la grappe.

Étape 2

Sélectionnez Devices (périphériques) > Device Management (gestion des périphériques), et cliquez sur Plus (icône plus) pour la grappe, et choisissez Break Cluster (Rompre la grappe).

Illustration 17. Rompre la grappe
Rompre la grappe

Étape 3

Vous êtes invité à rompre la grappe; cliquez sur Yes (oui).

Illustration 18. Confirmer la rupture
Confirmer la séparation

Vous pouvez surveiller l’interruption de l’ grappe en cliquant sur l’icône Notifications et en sélectionnant Tâches.


Désactiver la mise en grappe

Vous pouvez désactiver un nœud en préparation de sa suppression, ou temporairement pour la maintenance. Cette procédure vise à désactiver temporairement un nœud; le nœud continuera de s’afficher dans la liste des périphériques centre de gestion. Lorsqu’un nœud devient inactif, toutes les interfaces de données sont fermées.

Procédure


Étape 1

Pour l’unité que vous souhaitez désactiver, choisissez Devices > Device Management(Périphériques > Gestion des périphériques), cliquez sur Plus (icône plus) et sélectionnez Disable Node Clustering (désactiver le regroupement de nœuds).

Illustration 19. Désactiver la mise en grappe
Désactiver la mise en grappe

Si vous désactivez la mise en grappe sur le nœud de contrôle, l’un des nœuds de données deviendra le nouveau nœud de contrôle. Notez que pour les fonctionnalités centralisées, si vous forcez un changement de nœud de contrôle, toutes les connexions sont abandonnées et vous devez rétablir les connexions sur le nouveau nœud de contrôle. Vous ne pouvez pas désactiver la mise en grappe sur le nœud de contrôle s’il s’agit du seul nœud de la grappe.

Étape 2

Confirmez que vous souhaitez désactiver la mise en grappe sur le nœud.

Le nœud affichera (Désactivé) à côté de son nom dans la liste Device > Management (gestion des périphériques).

Étape 3

Pour réactiver la mise en grappe, consultez Rejoindre la grappe.


Rejoindre la grappe

Si un nœud a été supprimé de la grappe, par exemple pour une interface défaillante ou si vous avez désactivé manuellement la mise en grappe, vous devez rejoindre manuellement la grappe. Assurez-vous que le problème est résolu avant d’essayer de rejoindre la grappe.

Procédure


Étape 1

Pour l’unité que vous souhaitez réactiver, sélectionnez Devices (Périphériques) > Device Management (Gestion des périphériques), cliquez sur Plus (icône plus)et choisissez Enable Node Clustering(activer la mise en grappe de nœuds).

Étape 2

Confirmez que vous souhaitez activer la mise en grappe sur le nœud.


Modifier le nœud de contrôle


Mise en garde


La méthode recommandée pour changer le nœud de contrôle est de désactiver la mise en grappe sur celui-ci en attendant un nouveau choix de contrôle, puis de réactiver la mise en grappe. Si vous devez préciser l’unité exacte que vous souhaitez voir devenir le nœud de contrôle, utilisez la procédure décrite dans cette section. Notez que pour les fonctionnalités centralisées, si vous forcez un changement de nœud de contrôle en utilisant l’une ou l’autre de ces méthodes, toutes les connexions sont abandonnées et vous devez rétablir les connexions sur le nouveau nœud de contrôle.


Pour modifier le nœud de contrôle, procédez comme suit.

Procédure


Étape 1

Ouvrez la boîte de dialogue ClusterStatus (état de la grappe) en sélectionnant Devices > Device Management (Périphériques > Gestion des périphériques) Plus (icône plus)

Illustration 20. État de la grappe (cluster)
État de la grappe

Étape 2

Pour l'unité que vous souhaitez voir devenir l'unité de contrôle, sélectionnez ( Plus (icône plus) > modifier le rôle en unité de contrôle).

Étape 3

Vous êtes invité à confirmer le changement de rôle. Cochez la case , puis cliquez sur OK.


Modifier la configuration de grappe

Vous pouvez modifier la configuration de la grappe. Si vous modifiez des valeurs autres que l’adresse IP du VTEP pour un nœud ou une priorité de nœud, la grappe sera rompue et réformée automatiquement. Jusqu’à ce que la grappe soit reconstituée, vous pouvez subir des perturbations de trafic. Si vous modifiez l’adresse IP du VTEP pour un nœud ou une priorité de nœud, seuls les nœuds concernés sont rompus et lus à la grappe.

Procédure


Étape 1

Choisissez Devices (Périphériques) > Device Management (Gestion des périphériques), cliquez sur Plus (icône plus) pour la grappe et choisissez Edit Configuration(modifier la configuration).

Illustration 21. Modifier la configuration
Modifier la configuration

Le Manage Cluster Wizard (assistant de gestion des grappes) s'affiche.

Étape 2

Mettre à jour la configuration de grappe

Illustration 22. Assistant de gestion des grappes
Assistant de gestion des grappes

Étape 3

Cliquez sur Continue (Continuer). Passez en revue le résumé, puis cliquez sur Save(Enregistrer).


Rapprocher les nœuds de la grappe

Si un nœud de grappe ne s’enregistre pas, vous pouvez rapprocher les membres de la grappe du périphérique avec centre de gestion. Par exemple, un nœud de données peut ne pas s’enregistrer si centre de gestion est occupé par certains processus ou en cas de problème de réseau.

Procédure


Étape 1

Choisissez Devices (Périphériques) > Device Management (Gestion des périphériques) > Plus (icône plus) pour la grappe, puis choisissez Cluster Live Status (État en direct de la grappe) pour ouvrir la boîte de dialogue Cluster Status (État de la grappe).

Illustration 23. État actuel de la grappe
État actuel de la grappe

Étape 2

Cliquez sur Reconcile All (Tout faire concorder).

Illustration 24. Tout faire concorder
Tout faire concorder

Pour plus d’informations sur l’état de la grappe, consultez Surveillance de la grappe.


Supprimer la grappe ou les nœuds du centre de gestion

Vous pouvez supprimer la grappe de CDO, ce qui conserve la grappe inchangée. Vous souhaiterez peut-être supprimer la grappe si vous souhaitez l’ajouter à un nouveau CDO.

Vous pouvez également supprimer un nœud du CDO sans rompre le nœud de la grappe. Bien que le nœud ne soit pas visible dans le CDO, il fait tout de même partie de la grappe et continuera de transmettre le trafic et pourrait même devenir le nœud de contrôle. Vous ne pouvez pas supprimer le nœud de contrôle actuel. Vous pouvez supprimer le nœud s’il n’est plus accessible à partir du CDO, mais que vous souhaitez quand même le conserver dans la grappe.

Procédure


Étape 1

Connectez-vous à CDO et cliquez sur Inventory (inventaire).

Étape 2

Cliquez sur l’onglet FTD et localisez la grappe souhaitée. Sélectionnez-la pour que la ligne du périphérique soit mise en surbrillance.

Étape 3

Procédez comme suit :

  • Pour supprimer un nœud de la grappe, dans le volet Grappe à droite, cliquez sur l’icône de suppression qui apparaît à côté du périphérique que vous souhaitez supprimer.

  • Pour supprimer la grappe, dans le volet Device Actions (Actions du périphérique) à droite, cliquez sur Supprimer.

Étape 4

Lorsque vous y êtes invité, sélectionnez OK pour confirmer la suppression du périphérique sélectionné.


Surveillance de la grappe

Vous pouvez surveiller la grappe dans centre de gestion et l'interface de ligne de commande défense contre les menaces .

  • Boîte de dialogue Cluster Status (État de la grappe) accessible à partir de l'icône Devices > Device Management (Gestion des périphériques ) > Plus (icône plus) ou de la page Devices > Device Management > Cluster, zone > Générale > lien Cluster Live Status (État de la grappe en direct).

    Illustration 25. État de la grappe (cluster)
    État de la grappe

    Le nœud de contrôle est doté d’un indicateur graphique identifiant son rôle.

    Les états des membres de la grappe comprennent les états suivants :

    • En synchronisation : le nœud est enregistré auprès de centre de gestion.

    • En attente d’enregistrement : le nœud fait partie de la grappe, mais ne s’est pas encore enregistré auprès de centre de gestion. Si un nœud ne s’enregistre pas, vous pouvez réessayer l’enregistrement en cliquant sur Reconcile All (Rapprocher tout).

    • La mise en grappe est désactivée : le nœud est enregistré auprès de centre de gestion, mais est un membre inactif de la grappe. La configuration de la mise en grappe reste inchangée si vous avez l’intention de la réactiver ultérieurement, ou vous pouvez supprimer le nœud de la grappe.

    • Grappe en cours de jonction... : le nœud se joint à la grappe sur le châssis, mais n’a pas terminé la jonction. Après s’être joint, elle s’enregistrera auprès de centre de gestion.

    Pour chaque nœud, vous pouvez afficher le résumé ou l’historique.

    Illustration 26. Résumé du nœud
    Résumé du nœud
    Illustration 27. Historique du nœud
    Historique du nœud
  • System (system gear icon) > page Tâches (Tâches).

    La page Tasks (Tâches) affiche les mises à jour de la tâche d’enregistrement de la grappe à chaque fois que chaque nœud s’enregistre.

  • Devices (Périphériques) > Device Management (Gestion des périphériques) > cluster_name (Nom de la grappe).

    Lorsque vous développez la grappe sur la page de liste des périphériques, vous pouvez voir tous les nœuds membres, y compris le nœud de contrôle affiché avec son rôle à côté de l’adresse IP. L’icône de chargement s’affiche pour les nœuds en cours d’enregistrement.

  • show cluster {access-list [acl_name] | conn [count] | cpu [usage] | history | interface-mode | memory | resource usage | service-policy | traffic | xlate count}

    Pour afficher les données agrégées pour l’ensemble de la grappe ou d’autres informations, utilisez la commande show cluster.

  • show cluster info [auto-join | clients | conn-distribution | flow-mobility counters | goid [options] | health | incompatible-config | loadbalance | old-members | packet-distribution | trace [options] | transport { asp | cp}]

    Pour afficher les informations sur la grappe, utilisez la commande show cluster info .

Tableau de bord de surveillance de l’intégrité de la grappe

Moniteur d’intégrité de la grappe

Lorsque défense contre les menaces est le nœud de contrôle d’une grappe, centre de gestion recueille régulièrement diverses métriques à partir du collecteur de données des métriques du périphérique. Le moniteur d’intégrité de la grappe comprend les composants suivants :

  • Tableau de bord de présentation : affiche des informations sur la topologie de la grappe, les statistiques de la grappe et les tableaux de mesures :

    • La section de topologie affiche l’état actuel d’une grappe, l’intégrité de la défense contre les menaces individuelles, le type de nœud de défense contre les menaces (nœud de contrôle ou nœud de données) et l’état du périphérique. L’état du périphérique peut être Désactivé (lorsque le périphérique quitte la grappe), Ajouté prêt à l’emploi (dans une grappe de nuage public, les nœuds supplémentaires qui n’appartiennent pas à centre de gestion) ou Normal (état idéal du nœud) .

    • La section des statistiques de la grappe affiche les métriques actuelles de la grappe en ce qui concerne l’utilisation du processeur, l’utilisation de la mémoire, le débit d’entrée, le débit de sortie, les connexions actives et les traductions NAT.


      Remarque


      Les mesures de CPU et de mémoire affichent la moyenne individuelle de l’utilisation du plan de données et Snort.


    • Les tableaux de mesures, à savoir l’utilisation de la CPU, l’utilisation de la mémoire, le débit et les connexions, affichent sous forme de diagramme les statistiques de la grappe sur la période de temps spécifiée.

  • Tableau de bord de répartition de la charge : affiche la répartition de la charge sur les nœuds de la grappe dans deux gadgets :

    • Le gadget Distribution affiche la distribution moyenne des paquets et de la connexion sur la plage temporelle sur les nœuds de la grappe. Ces données décrivent comment la charge est répartie par les nœuds. Ce gadget vous permet de repérer facilement toute anomalie dans la répartition de la charge et d’y remédier.

    • Le gadget Statistiques de nœud affiche les mesures au niveau du nœud sous forme de tableau. Il affiche des données de métriques sur l’utilisation du processeur, l’utilisation de la mémoire, le débit d’entrée, le débit de sortie, les connexions actives et les traductions de NAT sur les nœuds de la grappe. Cette vue du tableau vous permet de corréler les données et d’identifier facilement les écarts.

  • Tableau de bord des performances des membres : affiche les mesures actuelles des nœuds de la grappe. Vous pouvez utiliser le sélecteur pour filtrer les nœuds et afficher les détails d’un nœud en particulier. Les données de la métrique comprennent l’utilisation de la CPU, l’utilisation de la mémoire, le débit d’entrée, le débit de sortie, les connexions actives et les traductions NAT.

  • Tableau de bord CCL : affiche sous forme graphique les données de liaison de commande de grappe, à savoir le débit d’entrée et de sortie.

  • Dépannage et liens : contient des liens pratiques vers des rubriques et des procédures de dépannage fréquemment utilisées.

  • Plage de temps : une fenêtre temporelle réglable permet de limiter les informations qui s’affichent dans les divers tableaux de bord et gadgets de métriques de grappe.

  • Tableau de bord personnalisé : affiche des données sur les mesures à l’échelle de la grappe et au niveau des nœuds. Cependant, la sélection du nœud s’applique uniquement aux mesures de défense contre les menaces et non à l’ensemble de la grappe à laquelle le nœud appartient.

Affichage de l’intégrité de la grappe

Vous devez être un utilisateur administrateur, de maintenance ou analyste de sécurité pour effectuer cette procédure.

Le moniteur d’intégrité de grappe fournit une vue détaillée de l’état d’intégrité d’une grappe et de ses nœuds. Ce moniteur d’intégrité de grappe fournit l’état d’intégrité et les tendances de la grappe dans un tableau de bord.

Avant de commencer
  • Assurez-vous d’avoir créé une grappe à partir d’un ou de plusieurs périphériques du centre de gestion.

Procédure

Étape 1

Choisissez System (system gear icon) > Moniteur > d'intégrité.

Utilisez le volet de navigation Monitoring (surveillance) pour accéder aux moniteurs d’intégrité spécifiques au nœud.

Étape 2

Dans la liste des périphériques, cliquez sur Développer (icône développer) et Réduire (icône réduire) pour développer ou réduire la liste des périphériques de grappe gérés.

Étape 3

Pour afficher les statistiques d’intégrité de la grappe, cliquez sur le nom de la grappe. Le moniteur de grappe signale par défaut les mesures d’intégrité et de performance dans plusieurs tableaux de bord prédéfinis. Les tableaux de bord des mesures comprennent :

  • Présentation  : met en évidence les mesures clés d’autres tableaux de bord prédéfinis, y compris les nœuds, le processeur, la mémoire, les débits d’entrée et de sortie, les statistiques de connexion et les informations de traduction NAT.

  • Répartition de la charge : répartition du trafic et des paquets sur les nœuds de la grappe.

  • Rendement des membres : statistiques au niveau du nœud sur l’utilisation de la CPU, l’utilisation de la mémoire, le débit d’entrée, le débit de sortie, la connexion active et la traduction NAT.

  • CCL : État de l’interface et statistiques de trafic agrégé.

Vous pouvez naviguer dans les différents tableaux de bord des mesures en cliquant sur les étiquettes. Pour obtenir une liste complète des mesures de grappe prises en charge, consultez les Indicateurs d’intégrité de Cisco Secure Firewall Threat Defense.

Étape 4

Vous pouvez configurer la plage temporelle à partir de la liste déroulante dans le coin supérieur droit. La plage de temporelle peut refléter une période aussi courte que la dernière heure (par défaut) ou aussi longue que deux semaines. Sélectionnez Custom (Personnalisé) dans la liste déroulante pour configurer des dates de début et de fin personnalisées.

Cliquez sur l’icône d’actualisation pour définir l’actualisation automatique à 5 minutes ou pour la désactiver.

Étape 5

Cliquez sur l'icône de déploiement pour une superposition de déploiement sur le graphique de tendance, par rapport à la plage temporelle sélectionnée.

L'icône de déploiement indique le nombre de déploiements au cours de la plage temporelle sélectionnée. Une bande verticale indique les heures de début et de fin de déploiement. Pour les déploiements multiples, plusieurs bandes/lignes s’affichent. Cliquez sur l'icône en haut de la ligne en pointillé pour afficher les détails du déploiement.

Étape 6

(Pour la surveillance de l’intégrité spécifique au nœud) Affichez les alertes d’intégrité du nœud dans la notification d’alerte en haut de la page, directement à droite du nom du périphérique.

Passez votre pointeur sur les alertes d’intégrité pour afficher le résumé de l’intégrité du nœud. La fenêtre contextuelle affiche un résumé tronqué des cinq principales alertes d’intégrité. Cliquez sur dans la fenêtre contextuelle pour ouvrir une vue détaillée du résumé de l’alerte d’intégrité.

Étape 7

(Pour le moniteur d’intégrité propre à un nœud) Le moniteur de périphérique signale les mesures d’intégrité et de performance dans plusieurs tableaux de bord prédéfinis par défaut. Les tableaux de bord des mesures comprennent :

  • Aperçu : met en évidence les mesures clés des autres tableaux de bord prédéfinis, y compris les statistiques du processeur, de la mémoire, des interfaces et de la connexion; ainsi que l’utilisation du disque et des informations sur les processus critiques.

  • CPU : utilisation de la CPU, y compris l’utilisation de la CPU par processus et par cœurs physiques.

  • Mémoire : uUtilisation de la mémoire du périphérique, y compris l’utilisation du plan de données et de la mémoire Snort.

  • Interfaces : état de l’interface et statistiques de trafic agrégées.

  • Connexions : statistiques de connexion (comme les flux d’éléphants, les connexions actives, les connexions de pointe, etc.) et le nombre de traductions NAT.

  • Snort : Statistiques liées au processus Snort.

  • Abandons ASP : Statistiques sur les paquets abandonnés pour diverses raisons.

Vous pouvez naviguer dans les différents tableaux de bord des mesures en cliquant sur les étiquettes. Reportez-vous à la section Indicateurs d’intégrité de Cisco Secure Firewall Threat Defense pour obtenir une liste complète des indicateurs pris en charge.

Étape 8

Cliquez sur le signe plus (+) dans le coin supérieur droit du moniteur d’intégrité pour créer un tableau de bord personnalisé en concevant votre propre ensemble de variables à partir des groupes de mesures disponibles.

Pour le tableau de bord à l’échelle de la grappe, choisissez Groupe de mesures de la grappe, puis choisissez la métrique.


Mesures de la grappe

Le moniteur d’intégrité des grappes suit les statistiques liées à une grappe et à ses nœuds, ainsi que les statistiques agrégées de la répartition de la charge, des performances et du trafic CCL.

Tableau 2. Mesures de la grappe

Unité

Description

Format

UC

Moyenne des mesures de CPU sur les nœuds d’une grappe (individuellement pour le plan de données et Snort).

pourcentage

Mémoire

Moyenne des mesures de mémoire sur les nœuds d’une grappe (individuellement pour le plan de données et Snort).

pourcentage

Débit de données

Statistiques de trafic de données entrant et sortant pour une grappe.

octets

Débit du CCL

Statistiques de trafic CCL entrant et sortant pour une grappe.

octets

Connexions

Nombre de connexions actives dans une grappe.

number

Traductions NAT

Nombre de traductions NAT pour une grappe.

number

Distribution

Nombre de distributions de connexion dans la grappe à chaque seconde.

number

Paquets

Nombre de distributions de paquets dans la grappe à chaque seconde.

number

Référence pour la mise en grappe

Cette section comprend des renseignements supplémentaires sur le fonctionnement de la mise en grappe.

Fonctionnalités de défense contre les menaces et mise en grappe

Certaines fonctions défense contre les menaces ne sont pas prises en charge avec la mise en grappe et d’autres le sont uniquement sur l’unité de contrôle. Pour une utilisation correcte, d’autres fonctionnalités peuvent comporter des mises en garde.

Fonctionnalités et mise en grappe non prises en charge

Ces fonctionnalités ne peuvent pas être configurées lorsque la mise en grappe est activée, et les commandes seront rejetées.


Remarque


Pour afficher les fonctionnalités FlexConfig qui ne sont pas non plus prises en charge avec la mise en grappe, par exemple l’inspection WCCP, consultez le guide de configuration des opérations générales ASA. FlexConfig vous permet de configurer de nombreuses fonctionnalités ASA qui ne sont pas présentes dans l’interface graphique centre de gestion. Voir Politiques FlexConfig.


  • VPN d'accès à distance (VPN SSL et VPN IPsec)

  • Client DHCP, serveur et serveur mandataire. Le relais DHCP est pris en charge.

  • Interfaces de tunnel virtuel (VTI)

  • Haute disponibilité

  • Routage et pont intégrés

  • Mode FMC UCAPL/CC

Fonctionnalités centralisées pour la mise en grappe

Les fonctionnalités suivantes ne sont prises en charge que sur le nœud de contrôle et ne sont pas adaptées à la grappe.


Remarque


Le trafic pour les fonctionnalités centralisées est acheminé des nœuds membres vers le nœud de contrôle par la liaison de commande de grappe.

Si vous utilisez la fonctionnalité de rééquilibrage, le trafic des fonctionnalités centralisées peut être rééquilibrage vers des nœuds sans contrôle avant que le trafic ne soit classé comme fonctionnalité centralisée. Si cela se produit, le trafic est renvoyé au nœud de contrôle.

Pour les fonctionnalités centralisées, si le nœud de contrôle tombe en panne, toutes les connexions sont abandonnées et vous devez rétablir les connexions sur le nouveau nœud de contrôle.



Remarque


Pour afficher les fonctionnalités FlexConfig qui sont également centralisées avec la mise en grappe, par exemple l’inspection RADIUS, consultez le guide de configuration des opérations générales ASA. FlexConfig vous permet de configurer de nombreuses fonctionnalités ASA qui ne sont pas présentes dans l’interface graphique centre de gestion. Voir Politiques FlexConfig.


  • Les inspections d'application suivantes :

    • DCERPC

    • ESMTP

    • NetBIOS

    • PPTP

    • RSH

    • SQLNET

    • SunRPC

    • TFTP

    • XDMCP

  • Surveillance du routage statique

Paramètres de connexion et mise en grappe

Les limites de connexion s’appliquent à l’ensemble de la grappe. Chaque nœud dispose d’une estimation des valeurs de compteur à l’échelle de la grappe en fonction des messages de diffusion. Pour des raisons d’efficacité, la limite de connexion configurée dans la grappe pourrait ne pas être appliquée exactement au nombre limite. Chaque nœud peut surévaluer ou sous-évaluer la valeur du compteur à l’échelle de la grappe à tout moment. Cependant, les informations seront mises à jour au fil du temps dans une grappe à charge équilibrée.

Routage et mise en grappe dynamiques

En mode d’interface individuel, chaque nœud exécute le protocole de routage en tant que routeur autonome, et les routes sont apprises par chaque nœud indépendamment.

Illustration 28. Routage dynamique en mode d'interface individuelle
Routage dynamique en mode d'interface individuelle

Dans le diagramme ci-dessus, le routeur A détecte qu’il existe quatre chemins à coûts égaux vers le routeur B, chacun passant par un nœud. ECMP est utilisé pour équilibrer la charge du trafic entre les quatre chemins. Chaque nœud choisit un ID de routeur différent lorsqu’il communique avec des routeurs externes.

Vous devez configurer un groupement de grappes pour l’ID de routeur afin que chaque nœud ait un ID de routeur distinct.

FTP et mise en grappe

  • Si le canal de données et les flux du canal de contrôle FTP appartiennent à différents membres de la grappe, le propriétaire du canal de données enverra périodiquement des mises à jour du délai d’inactivité au propriétaire du canal de contrôle et mettra à jour la valeur du délai d’inactivité. Cependant, si le propriétaire du flux de contrôle est rechargé et que le flux de contrôle est réhébergé, la relation de flux parent/enfant ne sera plus maintenue; le délai d’inactivité du flux de contrôle ne sera pas mis à jour.

NAT et mise en grappe

La NAT peut affecter le débit global de la grappe. Les paquets NAT entrants et sortants peuvent être envoyés à différents défense contre les menacesdans la grappe, car l’algorithme d’équilibrage de charge repose sur les adresses IP et les ports, et la NAT fait en sorte que les paquets entrants et sortants aient des adresses IP ou des ports différents. Lorsqu’un paquet arrive à défense contre les menaces qui n’est pas le propriétaire NAT, il est transféré sur la liaison de commande de grappe vers le propriétaire, ce qui entraîne un trafic important sur la liaison de commande de grappe. Notez que le nœud de réception ne crée pas de flux de transfert vers le propriétaire, car le propriétaire de la NAT peut ne pas créer de connexion pour le paquet en fonction des résultats des vérifications de sécurité et des politiques.

Si vous souhaitez toujours utiliser la NAT en grappe, tenez compte des directives suivantes :

  • No Proxy ARP (Pas de serveur mandataire ARP) : Pour les interfaces individuelles, une réponse de serveur mandataire ARP n’est jamais envoyée pour les adresses mappées. Cela empêche le routeur adjacent de maintenir une relation d’homologue avec un ASA qui ne fait plus partie de la grappe. Le routeur en amont a besoin d’une route statique ou d’un PBR avec suivi d’objets pour les adresses mappées qui pointe vers l’adresse IP de la grappe principale.

  • No interface PAT on an Individual interface (Pas de PAT d'interface sur une interface individuelle) Le PAT d'interface n'est pas pris en charge pour les interfaces individuelles.

  • PAT avec attribution de bloc de ports : Consultez les consignes suivantes pour cette fonctionnalité :

    • La limite maximale par hôte n’est pas une limite à l’échelle de la grappe et s’applique à chaque nœud individuellement. Ainsi, dans une grappe à 3 nœuds avec la limite maximale par hôte configurée à 1, si le trafic d’un hôte est équilibré en charge sur les 3 nœuds, 3 blocs avec 1 dans chaque nœud peuvent lui être alloués.

    • Les blocs de ports créés sur le nœud de sauvegarde à partir des pools de sauvegarde ne sont pas pris en compte lors de l’application de la limite maximale par hôte.

    • Les modifications des règles PAT à la volée, où l'ensemble PAT est modifié avec une toute nouvelle plage d’adresses IP, entraînera des échecs de création de sauvegarde xlate pour les demandes de sauvegarde xlate qui étaient encore en transit lorsque le nouveau ensemble est entré en vigueur. Ce comportement n’est pas spécifique à la fonctionnalité d’attribution de bloc de ports et il s’agit d’un problème transitoire d'ensemble PAT que l’on observe uniquement dans les déploiements en grappe où l'ensemble est distribué et le trafic est équilibré en charge sur les nœuds de la grappe.

    • Lorsque vous utilisez une grappe, vous ne pouvez pas simplement modifier la taille de l’allocation de bloc. La nouvelle taille n’est en vigueur qu’après le rechargement de chaque périphérique de la grappe. Pour éviter d’avoir à téléverser chaque périphérique, nous vous recommandons de supprimer toutes les règles d’attribution de blocage et d’effacer tous les xlates associés à ces règles. Vous pouvez ensuite modifier la taille du bloc et recréer les règles d’attribution des blocs.

  • Distribution des adresses de l'ensemble NAT pour la PAT dynamique : lorsque vous configurez un ensemble PAT, le cluster divise chaque adresse IP de l'ensemble en blocs de ports. Par défaut, chaque bloc comporte 512 ports, mais si vous configurez des règles d’attribution de bloc de ports, votre paramètre de blocage est utilisé à la place. Ces blocs sont répartis uniformément entre les nœuds de la grappe, de sorte que chaque nœud ait un ou plusieurs blocs pour chaque adresse IP dans l'ensemble PAT. Ainsi, vous pourriez avoir aussi peu qu’une adresse IP dans un ensemble PAT pour une grappe, si cela est suffisant pour le nombre de connexions PAT que vous attendez. Les blocs de ports couvrent la plage de ports 1 024 à 65535, sauf si vous configurez l’option pour inclure les ports réservés, 1 à 1023, dans la règle NAT de l'ensemble PAT.

  • Reusing a PAT pool in multiple Rules (réutiliser un pool PAT dans plusieurs règles) : Pour utiliser le même pool PAT dans plusieurs règles, vous devez faire attention à la sélection d'interface dans les règles. Vous devez soit utiliser des interfaces spécifiques dans toutes les règles, soit utiliser « any » dans toutes les règles. Vous ne pouvez pas combiner des interfaces spécifiques et « any » dans les règles, sans quoi le système pourrait ne pas être en mesure de faire correspondre le trafic de retour vers le bon nœud dans la grappe. L’option la plus fiable est l’utilisation d'ensembles de PAT uniques par règle.

  • Pas de tourniquet (Round robin) : le tourniquet pour un ensemble PAT n’est pas pris en charge avec la mise en grappe.

  • Pas de PAT étendue : la PAT étendue n'est pas prise en charge avec la mise en grappe.

  • Tableaux xlates dynamiques de NAT gérés par le nœud de contrôle : Le nœud de contrôle conserve et reproduit le tableau xlate sur les nœuds de données. Lorsqu’un nœud de données reçoit une connexion qui nécessite une NAT dynamique et que le xlate n’est pas dans le tableau, il le demande au nœud de contrôle. Le nœud de données est propriétaire de la connexion.

  • Disques xlates périmés : le temps d’inactivité xlate sur le propriétaire de la connexion n’est pas mis à jour. Ainsi, le temps d’inactivité peut dépasser le délai d’inactivité. Une valeur de minuteur d’inactivité supérieure au délai d’expiration configuré avec un contrôle de référence de 0 est une indication d’un xlate périmé.

  • Pas de PAT statique pour les inspections suivantes :

    • FTP

    • RSH

    • SQLNET

    • TFTP

    • XDMCP

    • SIP

  • Si vous avez un nombre extrêmement important de règles NAT, plus de dix mille, vous devez activer le modèle de validation transactionnelle à l’aide de la commande asp rule-engine transactional-commit nat dans l’interface de ligne de commande du périphérique. Sinon, le nœud pourrait ne pas être en mesure de rejoindre la grappe.

Inspection SIP et mise en grappes

Un flux de contrôle peut être créé sur n’importe quel nœud (en raison de l’équilibrage de la charge); ses flux de données enfants doivent résider sur le même nœud.

SNMP et mise en grappe

Un agent SNMP interroge chaque défense contre les menaces en fonction de l’adresse IP locale de son interface Diagnostic. Vous ne pouvez pas interroger les données consolidées de la grappe.

Vous devez toujours utiliser l’adresse locale, et non l’adresse IP de la grappe principale pour l’interrogation SNMP. Si l’agent SNMP interroge l’adresse IP de la grappe principale, si un nouveau nœud de contrôle est choisi, l’interrogation du nouveau nœud de contrôle échouera.

Lorsque vous utilisez SNMPv3 avec la mise en grappe et que vous ajoutez un nouveau nœud de grappe après la formation initiale de la grappe, les utilisateurs SNMPv3 ne seront pas répliqués sur le nouveau nœud. Vous devez supprimer les utilisateurs, les rajouter, puis redéployer votre configuration pour forcer les utilisateurs à se reproduire sur le nouveau nœud.

Syslog et mise en grappe

  • Chaque nœud de la grappe génère ses propres messages syslog. Vous pouvez configurer la journalisation de sorte que chaque nœud utilise le même ID d’appareil ou un ID d’appareil différent dans le champ d’en-tête du message syslog. Par exemple, la configuration du nom d’hôte est répliquée et partagée par tous les nœuds de la grappe. Si vous configurez la journalisation pour utiliser le nom d’hôte comme ID d’appareil, les messages syslog générés par tous les nœuds semblent provenir d’un seul nœud. Si vous configurez la journalisation pour utiliser le nom de nœud local attribué dans la configuration de démarrage de la grappe comme ID d’appareil, les messages du journal système semblent provenir de nœuds différents.

Cisco Trustsec et mise en grappe

Seul le nœud de contrôle reçoit les informations des balises de groupe de sécurité (SGT). Le nœud de contrôle remplit ensuite la balise SGT pour les nœuds de données, et les nœuds de données peuvent prendre une décision de correspondance pour la balise SGT en fonction de la politique de sécurité.

VPN et mise en grappe

La fonctionnalité VPN est limitée au nœud de contrôle et ne tire pas parti des capacités de haute disponibilité de la grappe. Si le nœud de contrôle tombe en panne, toutes les connexions VPN existantes sont perdues, et les utilisateurs de VPN verront une perturbation de service. Lorsqu’un nouveau nœud de contrôle est choisi, vous devez rétablir les connexions VPN.

Pour les connexions à une interface individuelle lors de l’utilisation de PBR ou d’ECMP, vous devez toujours vous connecter à l’adresse IP de la grappe principale, et non à une adresse locale.

Les clés et les certificats liés au VPN sont répliqués sur tous les nœuds.


Remarque


L’accès VPN à distance n’est pas pris en charge avec la mise en grappe.


Facteur d’évolutivité de rendement

Lorsque vous combinez plusieurs unités dans une grappe, vous pouvez vous attendre à ce que les performances totales de la grappe atteignent environ 80 % du débit combiné maximal.

Par exemple, si votre modèle peut gérer environ 10 Gbit/s de trafic lorsqu’il est exécuté seul, pour une grappe de 8 unités, le débit combiné maximal sera d’environ 80 % de 80 Gbit/s (8 unités x 10 Gbit/s) : 64 Gbit/s.

Choix du nœud de contrôle

Les nœuds de la grappe communiquent sur la liaison de commande de grappe pour élire un nœud de contrôle comme suit :

  1. Lorsque vous activez la mise en grappe pour un nœud (ou lorsqu’il démarre avec la mise en grappe déjà activée), il diffuse une demande de sélection toutes les 3 secondes.

  2. Tous les autres nœuds ayant une priorité plus élevée répondent à la demande de sélection; la priorité est réglée entre 1 et 100, 1 étant la priorité la plus élevée.

  3. Si, après 45 secondes, un nœud ne reçoit pas de réponse d’un autre nœud de priorité plus élevée, il devient le nœud de contrôle.


    Remarque


    Si plusieurs nœuds sont à égalité pour la priorité la plus élevée, le nom du nœud de la grappe, suivi du numéro de série, est utilisé pour déterminer le nœud de contrôle.


  4. Si un nœud se joint ultérieurement à la grappe avec une priorité plus élevée, il ne devient pas automatiquement le nœud de contrôle; le nœud de contrôle existant demeure toujours le nœud de contrôle, sauf s’il s’arrête de répondre, moment auquel un nouveau nœud de contrôle est sélectionné.

  5. Dans un scénario de « discernement partagé », où il y a temporairement plusieurs nœuds de contrôle, le nœud ayant la priorité la plus élevée conserve le rôle tandis que les autres nœuds retournent aux rôles de nœud de données.


Remarque


Vous pouvez forcer manuellement un nœud à devenir le nœud de contrôle. Pour les fonctionnalités centralisées, si vous forcez un changement de nœud de contrôle, toutes les connexions sont abandonnées et vous devez rétablir les connexions sur le nouveau nœud de contrôle.


Haute disponibilité au sein de la grappe

La mise en grappe assure une disponibilité élevée en surveillant l’intégrité des nœuds et de l’interface et en reproduisant les états de la connexion entre les nœuds.

Surveillance de l'intégrité du nœud

Chaque nœud envoie périodiquement un paquet de diffusion heartbeat sur la liaison de commande de grappe. Si le nœud de contrôle ne reçoit aucun paquet heartbeat ou autre paquet d’un nœud de données au cours du délai d’expiration configurable, le nœud de contrôle supprime le nœud de données de la grappe. Si les nœuds de données ne reçoivent pas de paquets du nœud de contrôle, un nouveau nœud de contrôle est élu parmi les nœuds restants.

Si les nœuds ne peuvent pas se joindre sur le lien de commande de grappe en raison d’une défaillance du réseau et non parce qu’un nœud est réellement défaillant, la grappe peut entrer dans un scénario de « scission du cœur » où les nœuds de données isolés éliront leurs propres nœuds de contrôle. Par exemple, si un routeur tombe en panne entre deux emplacements de grappe, le nœud de contrôle d’origine à l’emplacement 1 supprimera les nœuds de données de l’emplacement 2 de la grappe. Pendant ce temps, les nœuds de l’emplacement 2 éliront leur propre nœud de contrôle et formeront leur propre grappe. Notez que le trafic symétrique peut échouer dans ce scénario. Une fois la liaison de commande de grappe restauré, le nœud de contrôle qui a la priorité la plus élevée conservera le rôle de nœud de contrôle.

Surveillance d’interfaces

Chaque nœud surveille l’état de la liaison de toutes les interfaces matérielles désignées utilisées et signale les modifications d’état au nœud de contrôle.

Toutes les interfaces physiques sont surveillées; seules les interfaces nommées peuvent être surveillées. Vous pouvez éventuellement désactiver la surveillance par interface.

Un nœud est supprimé de la grappe en cas de défaillance de ses interfaces surveillées. Le nœud est supprimé après 500 ms.

État après l’échec

Lorsqu’un nœud de la grappe tombe en panne, les connexions hébergées par ce nœud sont transférées en toute transparence vers d’autres nœuds; Les renseignements d’état sur les flux de trafic sont partagés sur la liaison de commande de grappe du nœud de contrôle.

Si le nœud de contrôle échoue, un autre membre de la grappe ayant la priorité la plus élevée (numéro le plus bas) devient le nœud de contrôle.

défense contre les menaces tente automatiquement de rejoindre la grappe, en fonction de l’événement d’échec.


Remarque


Lorsque défense contre les menaces devient inactif et ne parvient pas à rejoindre automatiquement la grappe, toutes les interfaces de données sont fermées; Seule l’interface de gestion/dépistage de gestion peut envoyer et recevoir du trafic.


Rejoindre la grappe

Après le retrait d’un membre de la grappe, la façon dont il peut rejoindre la grappe dépend de la raison de sa suppression :

  • Échec de la liaison de commande de grappe lors de la jonction : après avoir résolu le problème avec la liaison de commande de grappe, vous devez rejoindre manuellement la grappe en réactivant la mise en grappe.

  • Échec de la liaison de commande de la grappe après avoir rejoint la grappe : FTD essaie automatiquement de la rejoindre toutes les 5 minutes, indéfiniment.

  • Échec de l’interface de données : défense contre les menaces tente automatiquement de rejoindre à 5 minutes, puis à 10 minutes et enfin à 20 minutes. Si la jonction échoue après 20 minutes, l’application défense contre les menaces désactive la mise en grappe. Après avoir résolu le problème de l’interface de données, vous devez activer manuellement la mise en grappe.

  • Nœud en échec : si le nœud a été supprimé de la grappe en raison d’un échec de vérification de l’intégrité du nœud, la jonction avec la grappe dépend de la source de la défaillance. Par exemple, une panne de courant temporaire signifie que le nœud rejoindra la grappe au redémarrage, à condition que le lien de commande de grappe soit actif. L'application défense contre les menaces tente de rejoindre la grappe toutes les 5 secondes.

  • Erreur interne : les défaillances internes comprennent : le dépassement du délai de synchronisation de l'application, les statuts incohérents de l'application, etc.

  • Échec du déploiement de la configuration : si vous déployez une nouvelle configuration à partir de FMC et que le déploiement échoue sur certains membres de la grappe mais réussit sur d'autres, les nœuds qui ont échoué sont supprimés de la grappe. Vous devez rejoindre manuellement la grappe en réactivant la mise en grappe. Si le déploiement échoue sur le nœud de contrôle, le déploiement est annulé et aucun membre n’est supprimé. Si le déploiement échoue sur tous les nœuds de données, le déploiement est restauré et aucun membre n’est supprimé.

Réplication de l’état de la connexion du chemin de données

Chaque connexion a un propriétaire et au moins un propriétaire secondaire dans la grappe. Le propriétaire de secours ne prend pas en charge la connexion en cas d’échec; au lieu de cela, il stocke les informations d’état TCP/UDP, de sorte que la connexion puisse être transférée de manière transparente à un nouveau propriétaire en cas de défaillance. Le propriétaire de la sauvegarde est généralement aussi le directeur.

Certains trafics nécessitent des informations d’état au-dessus de la couche TCP ou UDP. Consultez le tableau suivant pour connaître la prise en charge ou l’absence de prise en charge de ce type de trafic.

Tableau 3. Fonctionnalités répliquées dans la grappe

Trafic

Soutien relatif à l'état

Notes

Temps de disponibilité

Oui

Assure le suivi de la disponibilité du système.

Table ARP

Oui

tableau d'adresses MAC

Oui

Identité de l’utilisateur

Oui

Base de données du voisin IPv6

Oui

Routage dynamique

Oui

ID du moteur SNMP

Non

Gestion des connexions par la grappe

Les connexions peuvent être équilibrées vers plusieurs nœuds de la grappe. Les rôles de connexion déterminent la façon dont les connexions sont gérées, à la fois en fonctionnement normal et en situation de disponibilité élevée.

Rôles de connexion

Consultez les rôles suivants, définis pour chaque connexion :

  • Propriétaire : généralement, le nœud qui reçoit initialement la connexion. Le propriétaire gère l’état TCP et traite les paquets. Une connexion n’a qu’un seul propriétaire. Si le propriétaire d’origine échoue, lorsque les nouveaux nœuds reçoivent des paquets de la connexion, le directeur choisit un nouveau propriétaire dans ces nœuds.

  • Propriétaire du sauvegarde : Nœud qui stocke les informations d’état TCP/UDP reçues du propriétaire, de sorte que la connexion puisse être transférée en toute transparence à un nouveau propriétaire en cas de défaillance. Le propriétaire de secours ne prend pas en charge la connexion en cas d’échec. Si le propriétaire devient indisponible, le premier nœud à recevoir les paquets de la connexion (selon l’équilibrage de la charge) contacte le propriétaire de secours pour obtenir les informations d’état pertinentes, afin qu’il puisse devenir le nouveau propriétaire.

    Tant que le directeur (voir ci-dessous) n’est pas le même nœud que le propriétaire, le directeur est également le propriétaire secondaire. Si le propriétaire se choisit lui-même directeur, un propriétaire de secours distinct est choisi.

    Pour la mise en grappe sur le périphérique Firepower 9300, qui peut inclure jusqu’à 3 nœuds de grappe dans un châssis, si le propriétaire de secours se trouve sur le même châssis que le propriétaire, un propriétaire de secours supplémentaire sera choisi dans un autre châssis pour protéger les flux d’une défaillance du châssis .

  • Directeur : nœud qui gère les demandes de recherche de propriétaire provenant des transitaires. Lorsque le propriétaire reçoit une nouvelle connexion, il choisit un directeur en fonction d’un hachage de l’adresse IP source/de destination et des ports (voir ci-dessous pour les détails du hachage ICMP) et envoie un message au directeur pour enregistrer la nouvelle connexion. Si les paquets arrivent à un nœud autre que le propriétaire, le nœud interroge le directeur sur quel nœud est le propriétaire afin qu’il puisse transférer les paquets. Une connexion n’a qu’un seul directeur. En cas de défaillance d’un directeur, le propriétaire en choisit un nouveau.

    Tant que le directeur ne se trouve pas sur le même nœud que le propriétaire, le directeur est également le propriétaire suppléant (voir ci-dessus). Si le propriétaire se choisit lui-même directeur, un propriétaire de secours distinct est choisi.

    Détails du hachage ICMP/ICMPv6 :

    • Pour les paquets Echo, le port source correspond à l’identifiant ICMP et le port de destination est 0.

    • Pour les paquets de réponse, le port source est 0 et le port de destination est l’identifiant ICMP.

    • Pour les autres paquets, les ports source et de destination sont à 0.

  • Forwarder  (transitaire) : nœud qui transfère les paquets au propriétaire. Si un transitaire reçoit un paquet pour une connexion qu’il ne possède pas, il interroge le directeur à propos du propriétaire, puis établit un flux vers le propriétaire pour tout autre paquet qu’il reçoit pour cette connexion. Le directeur peut également être un transitaire. Notez que si un transitaire reçoit le paquet SYN-ACK, il peut en dériver le propriétaire directement d’un témoin SYN dans le paquet, donc il n’a pas besoin d’interroger le directeur. (Si vous désactivez la répartition aléatoire de la séquence TCP, le témoin SYN n’est pas utilisé; une requête au directeur est requise.) Pour les flux de courte durée tels que DNS et ICMP, au lieu d’interroger, le redirecteur envoie immédiatement le paquet au directeur, qui l’envoie ensuite au propriétaire. Une connexion peut avoir plusieurs redirecteurs; le débit le plus efficace est obtenu par une bonne méthode d’équilibrage de la charge où il n’y a pas de redirecteurs et où tous les paquets d’une connexion sont reçus par le propriétaire.


    Remarque


    Nous vous déconseillons de désactiver la répartition aléatoire de la séquence TCP lors de l’utilisation de la mise en grappe. Il y a un faible risque que certaines sessions TCP ne soient pas établies, car le paquet SYN/ACK sera abandonné.


  • Propriétaire de fragment : Pour les paquets fragmentés, les nœuds de la grappe qui reçoivent un fragment déterminent le propriétaire du fragment à l’aide d’un hachage de l’adresse IP source du fragment, de l’adresse IP de destination et de l’ID de paquet. Tous les fragments sont ensuite transférés au propriétaire du fragment sur la liaison de commande de grappe. Les fragments peuvent être équilibrés en charge vers différents nœuds de grappe, car seul le premier fragment comprend le quintuple utilisé dans le hachage d’équilibrage de charge du commutateur. Les autres fragments ne contiennent pas les ports source et de destination et peuvent être répartis en charge vers d’autres nœuds de la grappe. Le propriétaire du fragment rassemble temporairement le paquet afin de pouvoir déterminer le directeur en fonction d’un hachage de l’adresse IP source/de destination et des ports. S’il s’agit d’une nouvelle connexion, le propriétaire du fragment s’enregistrera en tant que propriétaire de la connexion. S'il s’agit d’une connexion existante, le propriétaire du fragment transfère tous les fragments au propriétaire de la connexion fourni par la liaison de commande de grappe. Le propriétaire de la connexion rassemblera ensuite tous les fragments.

Nouvelle propriété de connexion

Lorsqu’une nouvelle connexion est acheminée vers un nœud de la grappe par l’équilibrage de la charge, ce nœud possède les deux sens de connexion. Si des paquets de connexion arrivent à un nœud différent, ils sont acheminés au nœud propriétaire sur la liaison de commande de grappe. Si un flux inverse arrive sur un autre nœud, il est redirigé vers le nœud d’origine.

Exemple de flux de données pour TCP

L'exemple suivant montre l'établissement d'une nouvelle connexion.

  1. Le paquet SYN provient du client et est livré à un défense contre les menaces (selon la méthode d’équilibrage de la charge), qui devient le propriétaire. Le propriétaire crée un flux, code les renseignements sur le propriétaire dans un témoin SYN et transfère le paquet au serveur.

  2. Le paquet SYN-ACK provient du serveur et est livré à un défense contre les menaces différent (selon la méthode d’équilibrage de la charge). Ce défense contre les menaces est le transitaire.

  3. Comme le transitaire n’est pas propriétaire de la connexion, il décode les informations sur le propriétaire à partir du témoin SYN, crée un flux de transfert vers le propriétaire et transmet le SYN-ACK au propriétaire.

  4. Le propriétaire envoie une mise à jour de l’état au directeur et transmet le SYN-ACK au client.

  5. Le directeur reçoit la mise à jour d’état du propriétaire, crée un flux à destination du propriétaire et enregistre les informations d’état TCP ainsi que le propriétaire. Le directeur agit en tant que propriétaire secondaire pour la connexion.

  6. Tous les paquets suivants livrés au transitaire seront transférés au propriétaire.

  7. Si des paquets sont livrés à d’autres nœuds, il interrogera le directeur à propos du propriétaire et établira un flux.

  8. Tout changement d’état du flux entraîne une mise à jour d’état du propriétaire au directeur.

Exemple de flux de données pour ICMP et UDP

L'exemple suivant montre l'établissement d'une nouvelle connexion.

  1. Illustration 29. Flux de données ICMP et UDP
    Flux de données ICMP et UDP
    Le premier paquet UDP provient du client et est remis à un défense contre les menaces (selon la méthode d’équilibrage de la charge).
  2. Le nœud qui a reçu le premier paquet interroge le nœud directeur qui est choisi en fonction d’un hachage de l’adresse IP et des ports source/de destination.

  3. Le directeur ne trouve aucun flux existant, crée un flux de directeur et renvoie le paquet au nœud précédent. Autrement dit, le directeur a choisi un propriétaire pour ce flux.

  4. Le propriétaire crée le flux, envoie une mise à jour d’état au directeur et transfère le paquet au serveur.

  5. Le deuxième paquet UDP provient du serveur et est livré au redirecteur.

  6. Le transitaire interroge le directeur pour fournir les renseignements sur la propriété. Pour les flux de courte durée tels que le DNS, au lieu d’interroger, le redirecteur envoie immédiatement le paquet au directeur, qui l’envoie ensuite au propriétaire.

  7. Le directeur répond au transitaire avec les renseignements de propriété.

  8. Le transitaire crée un flux de transfert pour enregistrer les informations sur le propriétaire et transfère le paquet au propriétaire.

  9. Le propriétaire transfère le paquet au client.

Historique pour la mise en grappe Threat Defense Virtual dans un nuage privé

Fonctionnalités

Centre de gestion Minimum

Défense contre les menaces Minimum

Détails

Paramètres de surveillance de l’intégrité de la grappe

20221213

N’importe lequel

Vous pouvez désormais modifier les paramètres de surveillance de l’intégrité de la grappe.

Écrans nouveaux ou modifiés  : Devices (Périphériques) > Device Management (Gestion des périphériques) > Cluster (Grappe) > Cluster Health Monitor Settings (Paramètres d'intégrité de la grappe)

Remarque

 

Si vous avez déjà configuré ces paramètres à l’aide de FlexConfig, veillez à supprimer la configuration FlexConfig avant de procéder au déploiement. Sinon, la configuration FlexConfig remplacera la configuration du centre de gestion.

Tableau de bord de surveillance de l’intégrité de la grappe

20221213

N’importe lequel

Vous pouvez maintenant afficher l’intégrité de la grappe sur le tableau de bord du moniteur d’intégrité des grappes.

Écrans nouveaux ou modifiés : System (system gear icon) > Moniteur > d'intégrité

Mise en grappe pour Défense contre les menaces virtuelles sur VMware et KVM

N’importe lequel

7.2.0

Le défense contre les menaces virtuelles prend en charge la mise en grappe d'interfaces individuelles pour un maximum de 4 nœuds sur VMware et KVM.

Écrans Nouveaux ou modifiés :

  • Devices (Périphériques) > Device Management (Gestion des périphériques) > Add Cluster (Ajouter une grappe)

  • Devices (Périphériques) > Device Management (Gestion des périphériques), menu > More (Plus)

  • Devices(Périphériques) > Device Management (Gestion des périphériques) > Cluster (Grappe)

Plateformes prises en charge : Défense contre les menaces virtuelles sur VMware et KVM