Les deux unités dans une configuration High Availability (haute disponibilité) doivent :

• être du même modèle. En outre, les instances de conteneur doivent utiliser les mêmes attributs de profil de ressource.

  Pour la Firepower 9300, la haute disponibilité est uniquement prise en charge entre les modules de même type; toutefois, les deux châssis peuvent inclure des modules mixtes. Par exemple, chaque châssis a un SM-56, SM-48 et SM-40. Vous pouvez créer des paires à haute disponibilité entre les modules SM-56, entre les modules SM-48 et entre les modules SM-40.

  Si vous modifiez le profil de ressources après avoir ajouté la paire à haute disponibilité au CDO, mettez à jour l'inventaire de chaque unité dans la boîte de dialogue Périphériques > Gestion des périphériques > Périphériques > Système > Inventaire.

  Si vous affectez un profil différent aux instances d’une paire à haute disponibilité établie, ce qui nécessite que le profil soit le même sur les deux unités, vous devez :

  1. Rompre la haute disponibilité

  2. Attribuer le nouveau profil aux deux unités.

  3. Rétablir la haute disponibilité.

• Avoir le même nombre et les mêmes types d'interfaces.

  Pour le Châssis Firepower 4100/9300 , toutes les interfaces doivent être préconfigurées en FXOS de manière identique avant d'activer High Availability (haute disponibilité). Si vous modifiez les interfaces après avoir activé High Availability (haute disponibilité), modifiez l'interface dans FXOS sur l'unité en veille, puis apportez les mêmes modifications à l'unité active.

• Ayez les paramètres suivants dans un déploiement de succursale distante :

  • Ayez la même interface de gestion des données pour gérer le trafic de gestion dans un déploiement à distance.

    Par exemple, si vous avez utilisé eth0 dans le périphérique 1, utilisez également la même interface (eth0) dans le périphérique 2.

  • Utilisez l’interface de gestion des données pour la gestion du trafic.

    Vous ne pouvez pas gérer une unité à l’aide d’une interface de données et l’autre à l’aide d’une interface de gestion.

Si vous utilisez des unités avec des tailles de mémoire flash différentes dans votre configuration High Availability (haute disponibilité), assurez-vous que l’unité dotée de la mémoire flash la plus faible dispose de suffisamment d’espace pour contenir les fichiers d’image logicielle et les fichiers de configuration. Si ce n’est pas le cas, la synchronisation de la configuration de l’unité ayant la plus grande mémoire flash vers l’unité ayant la plus faible mémoire flash échouera.

Les deux unités dans une configuration High Availability (haute disponibilité) doivent :

•  : utilisez le même mode de pare-feu (routage ou transparent).

• Avoir la même version de logiciel;

• Faire partie du même domaine ou groupe sur centre de gestion.

• Ont la même configuration NTP. Consultez Configurer la synchronisation de l’heure NTP pour Threat Defense.

• Être entièrement déployé sur centre de gestion sans modifications non validées.

• DHCP ou PPPoE n’est configuré dans aucune de leurs interfaces.

• (Firepower 4100/9300) ont le même mode de déchargement de flux, activé ou désactivé.

Les deux unités d'une paire de basculement communiquent en permanence sur une liaison de basculement pour déterminer l'état de fonctionnement de chaque unité.

Pour utiliser le basculement avec état, vous devez configurer un lien de basculement avec état (également appelé lien d’état) pour transmettre les informations sur l’état de la connexion.

Nous recommandons que les liens de basculement et les interfaces de données empruntent différentes voies pour réduire le risque d’échec de toutes les interfaces en même temps. Si le lien de basculement est arrêté, l’appareil défense contre les menaces peut utiliser les interfaces de données pour déterminer si un basculement est requis. Ensuite, l’opération de basculement est suspendue jusqu’à ce que l’intégrité du lien de basculement soit restaurée.

Consultez les scénarios de connexion suivants pour concevoir un réseau de basculement résilient.

Scénario 1 (non recommandé)

Si un seul commutateur ou un ensemble de commutateurs est utilisé pour connecter les interfaces de basculement et de données entre deux périphériques défense contre les menaces , quand un commutateur ou une liaison inter-commutateurs sont en panne, les deux périphériques deviennent actifs.défense contre les menaces Par conséquent, les deux méthodes de connexion indiquées dans les figures suivantes ne sont pas recommandées.

Scénario 2 (recommandé)

Nous recommandons que les liens de basculement n'utilisent pas le même commutateur que les interfaces de données. Au lieu de cela, utilisez un commutateur différent ou utilisez un câble direct pour connecter le lien de basculement, comme le montrent les figures suivantes.

Scénario 3 (recommandé)

Si les interfaces de données défense contre les menaces sont connectées à plusieurs ensembles de commutateurs, un lien de basculement peut être connecté à l’un des commutateurs, de préférence le commutateur du côté sécurisé (interne) du réseau, comme le montre la figure suivante.

Scénario 4 (recommandé)

Les configurations de basculement les plus fiables utilisent une interface redondante au niveau du lien de basculement, comme le montrent les figures suivantes.

Pour le basculement avec état, les renseignements d’état suivants sont transmis au appareil de défense contre les menaces de secours :

• table de traduction NAT

• Les connexions et les états TCP et UDP, y compris les états des connexions HTTP. Les autres types de protocoles IP et ICMP ne sont pas analysés par l'unité active, car ils sont établis sur la nouvelle unité active à l'arrivée d'un nouveau paquet.

• États de connexion Snort, résultats d’inspection et informations sur les trous d’épingle, y compris une application stricte du protocole TCP.

• La table ARP

• La table des ponts de couche 2 (pour les groupes de ponts)

• La table ISAKMP et IPsec SA

• La base de données sur les connexions GTP-PDP

• Sessions de signalisation SIP et trous d'épingle.

• Tables de routage statiques et dynamiques : le basculement dynamique participe aux protocoles de routage dynamiques, tels que OSPF et EIGRP, de sorte que les itinéraires appris par les protocoles de routage dynamiques sur l'unité active sont conservés dans une table RIB (Routing Information Base) sur l'unité en attente. Lors d’un basculement, les paquets se déplacent normalement avec une perturbation minimale du trafic, car l’unité secondaire active est initialement soumise à des règles qui reflètent l’unité principale. Immédiatement après le basculement, le délai de reconvergence démarre sur l'unité nouvellement active. Ensuite, le numéro de la période pour la table RIB est incrémenté. Pendant la reconvergence, les routes OSPF et EIGRP sont mises à jour avec un nouveau numéro de période. Une fois la minuterie expirée, les entrées de route périmées (déterminées par le numéro de période) sont supprimées du tableau. Le RIB contient ensuite les informations de transfert les plus récentes du protocole de routage sur la nouvelle unité active.

  Remarque

  Les routages ne sont synchronisés que pour les événements de connexion ou de déconnexion sur une unité active. Si le lien est actif ou inactif sur l’unité de secours, les routages dynamiques envoyés à partir de l’unité active peuvent être perdus. Ce comportement est tout à fait normal et attendu.

• Serveur DHCP : les baux d’adresses DHCP ne sont pas répliqués. Cependant, un serveur DHCP configuré sur une interface enverra un message ping pour s’assurer qu’une adresse n’est pas utilisée avant d’accorder l’adresse à un client DHCP, donc il n’y a pas d’incidence sur le service. Les informations d’état ne sont pas pertinentes pour le relais DHCP ou DDNS.

• Décisions relatives à la politique de contrôle d’accès : les décisions relatives à la correspondance du trafic (y compris l’URL, la catégorie d’URL, la géolocalisation, etc.), la détection des intrusions, les programmes malveillants et le type de fichier sont conservées pendant le basculement. Cependant, pour les connexions évaluées au moment du basculement, les mises en garde suivantes doivent être apportées :

  • AVC : Les verdicts d’ID d’application sont répliqués, mais pas les états de détection. Une synchronisation appropriée a lieu tant que les verdicts App-ID sont complets et synchronisés avant le basculement.

  • État de la détection d'intrusion : lors du basculement, une fois que le prélèvement en milieu de flux se produit, de nouvelles inspections sont effectuées, mais les anciens états sont perdus.

  • Blocage des programmes malveillants : l'élimination des fichiers doit être disponible avant le basculement.

  • Détection et blocage du type de fichier : le type de fichier doit être identifié avant le basculement. Si le basculement se produit pendant que le périphérique actif d’origine identifie le fichier, le type de fichier n’est pas synchronisé. Même si votre politique de fichiers bloque ce type de fichier, le nouveau périphérique actif télécharge le fichier.

• Décisions relatives à l'identité de l'utilisateur à partir de la politique d'identité, y compris les correspondances entre l'utilisateur et l'adresse IP recueillies passivement par l'intermédiaire de et de l'annuaire des sessions ISE, ainsi que l'authentification active par le biais du portail captif. Les utilisateurs qui sont en train de s’authentifier activement au moment du basculement peuvent être invités à s’authentifier à nouveau.

• Network AMP : les recherches au sein du nuage sont indépendantes de chaque périphérique, de sorte que le basculement n’affecte pas cette fonctionnalité en général. Plus précisément :

  • Recherche de signature : si le basculement se produit au milieu d’une transmission de fichier, aucun événement de fichier n’est généré et aucune détection ne se produit.

  • Stockage de fichiers : si le basculement se produit lors du stockage du fichier, il est stocké sur le périphérique actif d’origine. Si le périphérique actif d’origine est tombé en panne pendant le stockage du fichier, le fichier n’est pas stocké.

  • Pré-classification de fichier (analyse locale) : si le basculement se produit au milieu de la pré-classification, la détection échoue.

  • Analyse dynamique de fichier (connectivité au nuage) : en cas de basculement, le système peut transmettre le fichier au nuage.

  • Prise en charge des fichiers d’archive  : si le basculement se produit au milieu d’une analyse, le système perd de la visibilité sur le fichier ou l’archive.

  • Blocage personnalisé : en cas de basculement, aucun événement n’est généré.

• Décisions en matière de renseignements sur la sécurité. Cependant, les décisions basées sur le DNS qui sont en cours au moment du basculement ne sont pas prises.

• VPN d'accès à distance : les utilisateurs finaux du VPN d’accès à distance n’ont pas à s’authentifier ou à reconnecter la session VPN après un basculement. Cependant, les applications fonctionnant sur la connexion VPN pourraient perdre des paquets pendant le processus de basculement et ne pas se rétablir après la perte de paquets.

• De toutes les connexions, seules celles établies seront répliquées sur l’ASA de secours.

Pour le basculement avec état, les informations d'état suivantes ne sont pas transmises au appareil de défense contre les menaces de secours :

• Sessions dans des tunnels en texte brut autres que GREv0 et IPv4-en-IP. Les sessions à l’intérieur des tunnels ne sont pas répliquées et le nouveau nœud actif ne pourra pas réutiliser les verdicts d’inspection existants pour faire correspondre les règles de politique correctes.

• Connexions TLS/SSL déchiffrées : les états de déchiffrement ne sont pas synchronisés et si l’unité active échoue, les connexions déchiffrées seront réinitialisées. De nouvelles connexions devront être établies avec la nouvelle unité active. Les connexions qui ne sont pas déchiffrées (c’est-à-dire celles qui correspondent à une action de règle Ne pas déchiffrer de TLS/SSL) ne sont pas affectées et sont répliquées correctement.

• Les connexions de contournement d’état TCP

• Le routage de multidiffusion

Le périphérique défense contre les menaces détermine l’intégrité de l’autre unité en surveillant le lien de basculement à l’aide de messages Hello. Lorsqu’une unité ne reçoit pas trois messages Hello consécutifs sur la liaison de basculement, l’unité envoie des messages LANTEST sur chaque interface de données, y compris la liaison de basculement, pour valider si l’homologue réagit ou non. L’action du périphérique défense contre les menaces dépend de la réponse de l’autre unité. Consultez les exemples d’actions suivantes :

• Si le périphérique défense contre les menaces reçoit une réponse sur le lien de basculement, il ne bascule pas.

• Si le périphérique défense contre les menaces ne reçoit pas de réponse sur la liaison de basculement, mais qu’il reçoit une réponse sur une interface de données, l’unité ne bascule pas. Le lien de basculement est marqué comme ayant échoué. Vous devez restaurer la liaison de basculement dès que possible, car l’unité ne peut pas basculer sur l’unité de secours lorsque le lien de basculement est inactif.

• Si le périphérique défense contre les menaces ne reçoit de réponse sur aucune interface, l’unité en veille passe en mode actif et classe l’autre unité comme en panne.

Lorsqu’une unité ne reçoit pas de messages Hello sur une interface surveillée pendant 15 secondes, elle exécute des tests d’interface. Si l’un des tests d’interface échoue pour une interface, mais que cette même interface sur l’autre unité continue de transmettre le trafic avec succès, l’interface est considérée comme ayant échoué et lepériphérique arrête d’exécuter les tests.

Si le seuil que vous avez défini pour le nombre d'interfaces défaillantes est atteint (voir Périphériques > Gestion des périphériques > Haute disponibilité > Critères de déclenchement du basculement) et que l'unité active a plus d'interfaces défaillantes que l'unité en attente, un basculement se produit. Si une interface échoue sur les deux unités, les deux interfaces passent à l’état « Inconnu » et ne sont pas prises en compte dans la limite de basculement définie par la politique d’interface de basculement.

Une interface devient de nouveau opérationnelle si elle reçoit du trafic. Un périphérique défaillant passe en mode veille si le seuil de défaillance de l’interface n’est plus atteint.

Si une interface a des adresses IPv4 et IPv6 configurées, le périphérique utilise les adresses IPv4 pour effectuer la surveillance de l’intégrité. Si une interface n’a que des adresses IPv6 configurées, le périphérique utilise la découverte des voisins IPv6 au lieu d’ARP pour effectuer les tests de surveillance de l’intégrité. Pour le test de ping de diffusion, le périphérique utilise l’adresse de tous les nœuds IPv6 (FE02::1).

Lors de la configuration du basculement entre actif/veille, vous configurez une unité comme principale et l’autre comme secondaire. Lors de la configuration, les politiques de l’unité principale sont synchronisées avec celles de l’unité secondaire. À ce stade, les deux unités agissent comme un seul périphérique pour la configuration des périphériques et des politiques. Cependant, pour les événements, les tableaux de bord, les rapports et la surveillance de l’intégrité, ils continuent de s’afficher comme des périphériques distincts.

Les principales différences entre les deux unités d’une paire de basculement dépendent de l’unité active et de l’unité en veille, à savoir les adresses IP à utiliser et l’unité transmettant activement le trafic.

Cependant, il existe quelques différences entre les unités en fonction de l’unité principale (comme spécifié dans la configuration) et de l’unité secondaire :

• L’unité principale devient toujours l’unité active si les deux unités démarrent en même temps (et ont le même état de fonctionnement opérationnel).

• Les adresses MAC de l’unité principale sont toujours associées aux adresses IP actives. L’exception à cette règle se produit lorsque l’unité secondaire devient active et ne peut pas obtenir les adresses MAC de l’unité principale sur la liaison de basculement. Dans ce cas, les adresses MAC des unités secondaires sont utilisées.

L’unité active est déterminée par les éléments suivants :

• Si une unité démarre et détecte un homologue qui fonctionne déjà comme actif, elle devient l’unité de secours.

• Si une unité démarre et ne détecte pas d’homologue, elle devient l’unité active.

• Si les deux unités démarrent simultanément, l’unité principale devient l’unité active et l’unité secondaire devient l’unité de secours.

Dans le cas d'un basculement actif/de secours, le basculement se produit de manière unitaire.

Le tableau suivant présente l’action de basculement pour chaque défaillance. Pour chaque défaillance, le tableau indique la politique de basculement (basculement ou absence de basculement), l’action prise par l’unité active, l’action entreprise par l’unité de secours, et toute remarque spéciale sur la condition et les actions de basculement.