Configuração de alta disponibilidade em centros de defesa da série 3

Introduction

Este documento descreve a configuração de alta disponibilidade (HA) para os Centros de Defesa (DC) da Série 3.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Tecnologia Firepower
• Conceitos básicos de alta disponibilidade

Componentes Utilizados

As informações neste documento são baseadas em dispositivos Firepower Defense Center Series 3 (DC1500,DC2000,DC3500,DC4000 ) executados do software versão 5.3 para o software versão 5.4.1.6

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informações de Apoio

Para garantir a continuidade das operações, o recurso de alta disponibilidade permite designar centros de defesa redundantes para gerenciar dispositivos.O Defense Center mantém fluxos de dados de eventos de dispositivos gerenciados e determinados elementos de configuração desses dispositivos. Se um Centro de Defesa falhar, você poderá monitorar sua rede sem interrupções por meio do outro Centro de Defesa.

Recursos de alta disponibilidade

• A sincronização de HA é bidirecional, o que significa que mesmo que haja um dispositivo primário e secundário designado, as alterações adicionadas em qualquer um dos dispositivos são replicadas para o outro.
  
  
• O HA não exige que os dispositivos sejam conectados diretamente. A conexão HA pode ser feita em um switch, mas essa conexão precisa estar no mesmo domínio de broadcast.
  
  
• Os dispositivos HA comunicam-se através do IP de gerenciamento na porta 8305.
  
  
• O tempo de sincronização HA de um dispositivo é de cinco minutos, o que significa que após cada cinco minutos um dispositivo tenta sincronizar sua configuração com seu par. Como o tempo necessário para sincronização é específico para os dispositivos, cumulativamente, o tempo de sincronização pode ser maximizado para dez minutos.
  
  
• Se for necessária uma nova imagem para um peer de HA específico, é recomendável quebrar o HA e refazer a imagem.
  
  
• Se você planeja atualizar o cluster HA, não é necessário interromper o HA. Ao atualizar da versão 5.3.0 para 5.4.0, atualize os dispositivos um por um e, uma vez atualizados, execute uma tarefa de sincronização no Centro de Defesa principal.

• A presença de uma política de acesso com o mesmo nome em ambos os DCs cria duas Políticas de controle de acesso com o mesmo nome. Uma política é configurada localmente e a outra é sincronizada do peer DC.

Note: Você não pode adicionar um destino ou aplicar essa política porque ela gera um erro, que indica que já existe uma política com o mesmo nome.

• As licenças não são sincronizadas entre os pares de DC, portanto, elas devem ser adicionadas separadamente aos DCs.
  
  
• Todos os dispositivos gerenciados são adicionados somente a um DC. A configuração é sincronizada entre os DCs correspondentes.
  
  
• Os dispositivos gerenciados enviam registros para ambos os DCs.
  
  
• Os DCs sincronizam as ações mais recentes. Por exemplo, se você excluir um usuário de DC-1, o outro peer DC-2 não sincroniza a configuração do usuário com DC-1. Ele sincroniza a ação de exclusão e o usuário é perdido de DC-1 e DC-2.

Configuração compartilhada bidirecionalmente entre peers

Os DCs HA sincronizam políticas bidirecionalmente. Essas configurações são sincronizadas bidirecionalmente entre peers. Você também pode ver a maioria dessas configurações com o caminho definido ao lado:

Identidades e autenticação

• Configuração LDAP externa- Navegue até Sistema > Local > Gerenciamento de usuário > Autenticação externa
• Usuários (internos e externos)- Navegue paraSistema > Local> Gerenciamento de usuários> Usuários
• Funções de usuário personalizadas - Navegue paraSistema > Local > Gerenciamento de usuário > Funções de usuário

Relatórios

• Modelos de relatório - Navegue até Visão geral > Relatórios > Modelos de relatório

Políticas configuráveis (na seção Políticas)

• Políticas de controle de acesso, políticas de intrusão, políticas de arquivos, políticas SSL, políticas de acesso à rede, políticas e regras de correlação, lista branca de conformidade e perfis de tráfego. 
• Regras de intrusão (Local e SRU)- Navegue paraPolíticas > Intrusão> Editor de regras > Regras locais.
• Descoberta de rede, atributos de host, feedback do usuário de descoberta de rede, incluindo anotações e criticalidade do host, a exclusão de hosts, aplicativos e redes do mapa de rede e a desativação ou modificação de vulnerabilidades.
• Detectores de aplicativos personalizados
• Conexões LDAP em políticas de usuário- Navegar paraPolíticas > Usuários
• Alertas - Navegue até Políticas> Ações > Alertas (em Respostas)

Informações do dispositivo

• Regras NAT- Navegar paraDispositivos> NAT
• Regras de VPN - Navegar até Dispositivos > VPN
• Todas as informações do dispositivo, incluindo o nome e seu grupo, são sincronizadas bidirecionalmente. O local de armazenamento de log para cada dispositivo também é sincronizado entre peers - Navegue até Dispositivos > Gerenciamento de dispositivos
• Classificações de regra de intrusão personalizadas
• Impressões digitais personalizadas ativadas
• Política de sistema e política de saúde
• Painéis personalizados, fluxos de trabalho personalizados e tabelas personalizadas
• Alterar configurações de reconciliação, instantâneos e relatórios
• Atualizações de regras (SRU), banco de dados de localização geográfica (GeoDB) e atualizações de banco de dados de vulnerabilidades (VDB) da Sourcefire

Configuração não sincronizada entre DCs

• Informações do agente de usuário na política do usuário 
• Varredura do NMAP
• Grupos de respostas 
• Módulos de correção
• Instâncias de correção
• Estreamer e Host Input Client
• Perfis de backup
• Agendamentos 
• Licenças
• Atualizações
• Alertas de integridade

Configurar

Pré-requisitos para configurar a alta disponibilidade

• Os dispositivos devem ser da mesma versão de software e hardware.
  
  
• Os dispositivos devem ter o mesmo VDB instalado.
  
  
• Os dispositivos devem ter a mesma SRU.
  
  
• Certifique-se de que ambos os Centros de Defesa tenham uma conta de utilizador nomeada admin com privilégios de Administrador. Essas contas devem usar a mesma senha.
  
  
• Certifique-se de que, além da conta admin, os dois Centros de Defesa não tenham contas de usuário com nomes de usuário idênticos. Remova ou renomeie uma das contas de usuários duplicadas antes de estabelecer alta disponibilidade.
  
  
• Certifique-se de que ambos os dispositivos não tenham políticas de controle de acesso com o mesmo nome. Se houver duas políticas de controle de acesso com o mesmo nome, ambas coexistirão nos DCs. No entanto, eles não podem ser associados a nenhum dispositivo.Depois de salvar esta política após adicionar um dispositivo de destino , esta configuração é rejeitada com um erro como mostrado na imagem:

• Ambos os Centros de Defesa devem ter acesso à Internet.
  
  

Configurar alta disponibilidade

Estas são as 8 etapas para configurar a alta disponibilidade.

Etapa 1. Confirme se a versão de software e hardware juntamente com a versão VDB e a versão de atualização de regra são iguais.

Etapa 2. Para tornar seu dispositivo secundário, navegue para System > Local > Registration, como mostrado na imagem. Certifique-se de que não tem configuração neste DC.

Etapa 3. Na guia Alta disponibilidade Clique em Clique aqui para estabelecer isso como um centro de defesa secundário, como mostrado na imagem:

Etapa 4. Ao concluir a Etapa 3, uma página é exibida conforme mostrado na imagem. Adicione o IP do DC primário e a chave de passagem.  Assegure-se de adicionar uma ID NAT exclusiva para dispositivos, que estão por trás de uma Tradução de Endereço de Rede.

Etapa 5. Depois que o endereço IP for verificado, clique corretamente em Register. Você vê uma página como mostra a imagem:

Isso significa que o HA está configurado no DC secundário e você precisa configurá-lo no DC primário.

Etapa 6. Faça login no dispositivo que deseja configurar como o DC principal. Navegue até Sistema > Local > Registro.

Na guia Alta disponibilidade Clique em Clique aqui para adicionar como o Centro de defesa principal, como mostrado na imagem:

Passo 7. Após concluir a Etapa 6, uma página é exibida conforme mostrado na imagem:

Adicione o IP DC secundário. Forneça a mesma chave de registro e a ID NAT que foi fornecida enquanto você configurava o DC secundário.

Etapa 8. Depois que os detalhes do IP forem verificados, clique em Registrar. Quando o registro estiver concluído, a página Êxito será vista como mostrado na imagem:

Após 5 a 10 minutos, a configuração e a sincronização do HA foram concluídas.

Leva quase de 5 a 10 minutos para concluir a configuração e sincronização do HA

Verificar

Configuração passo a passo para verificar se seus DCs estão configurados corretamente para alta disponibilidade.

Etapa 1. Navegue até System >Local >Registration no dispositivo primário como mostrado na imagem:

Etapa 2. Navegue até Sistema >Local >Registro no dispositivo secundário, como mostrado na imagem:

Troubleshoot

Esta seção fornece etapas básicas de solução de problemas para alta disponibilidade.

• Verifique se os DCs estão ouvindo na porta TCP 8305, já que o HA usa essa porta para sincronizar informações e batimentos cardíacos.
• Verifique se a porta TCP 8305 não está bloqueada na rede ou por nenhum dispositivo intermediário.
• A criação de HA falha se houver uma entrada obsoleta de um dispositivo peer anterior removido ou substituído. A tabela EM_Peers fornece mais informações sobre esses dispositivos pares.

Informações Relacionadas

• Configuração da pilha nos dispositivos Cisco Firepower 8000 Series
• Guia do usuário do sistema Firesight 5.4.1
• Suporte Técnico e Documentação - Cisco Systems