NAC Appliance (CCA): Konfigurieren der hohen Verfügbarkeit für den Clean Access Manager (CAM)
Inhalt
Einführung
Voraussetzungen Anforderungen
Verwendete Komponenten Konventionen
Übersicht
Grundlegende Anforderungen, bevor Sie fortfahren Verbinden der Clean Access Manager-Systeme Serielle Verbindung
Konfigurieren des HA-Primary CAM Konfigurieren des HA-sekundären CAM Schließen Sie die Konfiguration ab Fehlschlagen eines HA-CAM-Paars Nützliche CLI-Befehle für HA
Überprüfen des Aktiv/Standby-Laufzeitstatus des HA-CAM
Überprüfen des primären/sekundären Konfigurationsstatus für den HA-CAM Fehlerbehebung
Problem 1 Lösung Problem 2 Lösung Problem 3 Lösung
Zugehörige Informationen
Einführung
In diesem Dokument wird beschrieben, wie Sie ein Paar Clean Access Manager (CAM)-Computer für Hochverfügbarkeit (HA) einrichten. Wenn Clean Access Manager im Hochverfügbarkeitsmodus bereitgestellt werden, können Sie sicherstellen, dass wichtige Überwachungs-, Authentifizierungs- und Berichterstellungsaufgaben bei einem unerwarteten Herunterfahren fortgesetzt werden.
Hinweis: Im Abschnitt Konfiguration der Hochverfügbarkeit (HA) im Installations- und
Administrationsleitfaden für Cisco NAC Appliance - Clean Access Server (CAS) erfahren Sie, wie Sie die HA-Funktion im CAS konfigurieren.
Voraussetzungen
Anforderungen
Für dieses Dokument bestehen keine speziellen Anforderungen.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf der Cisco Network Admission Control (NAC) Appliance - CAM Version 4.1.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten
Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Konventionen
Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
Übersicht
Diese wichtigen Punkte bieten eine allgemeine Zusammenfassung des HA-CAM-Betriebs:
Der Hochverfügbarkeitsmodus des Clean Access Manager ist eine aktive/passive
Konfiguration mit zwei Servern, bei der ein Standby-CAM als Backup auf einen aktiven CAM- Rechner fungiert.
1.
Der aktive Clean Access Manager führt alle Aufgaben für das System aus. Der Standby- CAM überwacht den aktiven CAM und behält die Synchronisierung seiner Datenbank mit der aktiven CAM-Datenbank bei.
2.
Beide CAMs verwenden eine virtuelle Service-IP für die eth0-vertrauenswürdige Schnittstelle. Der Domänenname muss für das SSL-Zertifikat verwendet werden.
3.
Die primären und sekundären CAM-Systeme tauschen alle 2 Sekunden UDP-Heartbeat- Pakete aus. Wenn der Heartbeat-Timer abläuft, tritt Stateful Failover auf.
4.
Die eth1-Schnittstelle und/oder serielle Schnittstelle der CAMs kann für Heartbeat-Pakete und Datenbanksynchronisierung verwendet werden. Wenn sowohl die eth1- als auch die serielle Schnittstelle für Heartbeat konfiguriert sind, müssen beide Schnittstellen ausfallen, damit ein Failover stattfindet.
5.
Der Clean Access Manager-Hochverfügbarkeitsmodus ist eine aktive/passive Konfiguration mit zwei Servern, bei der ein Standby-Clean Access Manager-Rechner als Backup für einen aktiven Clean Access Manager-Rechner fungiert. Während der aktive CAM den Großteil der Arbeitslast unter normalen Bedingungen übernimmt, überwacht der Standby-CAM den aktiven CAM und behält seinen Datenspeicher synchron mit den Daten des aktiven CAM bei.
Tritt ein Failover-Ereignis auf, z. B. wenn der aktive CAM heruntergefahren wird oder nicht auf das Heartbeat-Signal des Peers reagiert, übernimmt der Standby-CAM die Rolle des aktiven CAM.
Wenn Sie die HA-Peers zum ersten Mal konfigurieren, müssen Sie einen HA-Primary CAM und einen HA-Secondary CAM angeben. Zunächst ist HA-Primär der aktive CAM, und HA-Sekundär ist der Standby-CAM (passiv), aber die Aktiv/Passiv-Rollen werden nicht dauerhaft zugewiesen.
Wenn der primäre CAM ausfällt, wird der sekundäre (Standby-) CAM zum aktiven CAM. Wenn der ursprüngliche primäre CAM neu startet, übernimmt er die Sicherungsrolle.
Wenn der Clean Access Manager gestartet wird, wird überprüft, ob der Peer aktiv ist. Andernfalls übernimmt der neu gestartete CAM die aktive Rolle. Ist der Peer aktiv, wird der beginnende CAM zum Standby-Modus.
Sie können zwei Clean Access Manager gleichzeitig als HA-Paar konfigurieren oder einem vorhandenen eigenständigen CAM einen neuen Clean Access Manager hinzufügen, um ein Paar mit hoher Verfügbarkeit zu erstellen. Damit das Paar im Netzwerk und den Clean Access-Servern als eine Einheit angezeigt wird, müssen Sie eine Service-IP-Adresse angeben, die als
vertrauenswürdige Schnittstellenadresse (eth0) für das HA-Paar verwendet wird.
Um das Crossover-Netzwerk zu erstellen, auf dem hochverfügbare Informationen ausgetauscht werden, verbinden Sie die eth1-Ports beider CAMs und geben eine private Netzwerkadresse an, die derzeit in Ihrem Unternehmen nicht geroutet wird (das HA-Crossover-Standardnetzwerk ist 192.168.0.252). Der Clean Access Manager erstellt dann ein privates, sicheres Netzwerk mit zwei Knoten für die eth1-Ports jedes CAM, um den UDP-Heartbeat-Datenverkehr auszutauschen und Datenbanken zu synchronisieren. Der CAM verwendet eth1 immer als UDP-Heartbeat-
Schnittstelle.
Für zusätzliche Sicherheit können Sie auch die seriellen Ports jedes Clean Access Managers für den Heartbeat-Austausch anschließen. In diesem Fall müssen sowohl die UDP-Heartbeat- als auch die seriellen Heartbeat-Schnittstellen ausfallen, damit das Standby-System die Kontrolle übernimmt.
Hinweis: Bei einer seriellen Kabelverbindung für HA (HA-CAM oder HA-CAS) muss das serielle Kabel ein "Null-Modem"-Kabel sein.
Grundlegende Anforderungen, bevor Sie fortfahren
Warnung: Um mögliche Datenverluste bei der Datenbanksynchronisierung zu vermeiden, sollten Sie immer sicherstellen, dass der Standby-Clean Access Manager (sekundär) in Betrieb ist, bevor der Fehler beim aktiven (primären) Clean Access Manager auftritt.
Stellen Sie vor der Konfiguration der Hochverfügbarkeit sicher, dass Sie die folgenden Anforderungen erfüllen:
Sie haben eine Lizenz für Hochverfügbarkeit (Failover) erhalten.Hinweis: Wenn Sie eine CAM Failover (HA)-Lizenz installieren, installieren Sie zuerst die Failover-Lizenz auf den primären CAM und laden dann alle anderen Lizenzen. Eigenständige Lizenzen können auch für Hochverfügbarkeit verwendet werden.
1.
Beide CAMs werden installiert und konfiguriert.
2.
Für den Heartbeat muss jeder CAM über einen eindeutigen Hostnamen (oder Node-Namen) verfügen. Bei HA-CAM-Paaren wird dieser Hostname dem Peer bereitgestellt und muss über DNS aufgelöst oder der Datei /etc/hosts des Peers hinzugefügt werden.
3.
Sie haben ein Zertifikat mit CA-Signatur für den Domänennamen des HA CAM-Paars.
4.
Der HA-Primary CAM ist für die Laufzeit vollständig konfiguriert. Das bedeutet, dass alle Verbindungen zu Authentifizierungsquellen, Richtlinien, Benutzerrollen, Access Points usw.
angegeben werden. Diese Konfiguration wird automatisch im HA-sekundären (Standby-) CAM dupliziert.
5.
Beide Clean Access Manager sind im Netzwerk verfügbar (versuchen Sie, einen Ping zu senden, um die Verbindung zu testen).
6.
Die Computer, auf denen die CAM-Software installiert ist, verfügen über einen freien Ethernet-Port (eth1) und mindestens einen freien seriellen Port. Verwenden Sie die
Spezifikations-Handbücher für die Serverhardware, um den seriellen Port (ttyS0 oder ttyS1) auf jedem Rechner zu identifizieren.
7.
In Out-of-Band-Bereitstellungen ist die Port-Sicherheit auf den Switch-Schnittstellen, mit denen der CAS und der CAM verbunden sind, nicht aktiviert. Dies kann die HA- und DHCP- Bereitstellung von CAS beeinträchtigen.
8.
Bei diesen Verfahren müssen Sie den Clean Access Manager neu starten. Zu diesem Zeitpunkt sind die Services kurz nicht verfügbar. Konfigurieren Sie einen Online-CAM, wenn sich
Ausfallzeiten am wenigsten auf Ihre Benutzer auswirken.
Hinweis: Die Cisco NAC Appliance-Webadministratorkonsolen unterstützen den Internet Explorer ab Version 6.0.
Verbinden der Clean Access Manager-Systeme
Es gibt zwei Arten von Verbindungen zwischen HA-CAM-Peers: eine zum Austausch von
Laufzeitdaten für die Clean Access Manager-Aktivitäten und eine zum Heartbeat-Signal. Bei hoher Verfügbarkeit verwendet der Clean Access Manager stets die eth1-Schnittstelle für den
Datenaustausch und den Heartbeat-UDP-Austausch. Wenn das UDP-Heartbeat-Signal nicht innerhalb eines bestimmten Zeitraums übertragen und empfangen wird, übernimmt das Standby- System. Um ein zusätzliches Maß an Sicherheit zu gewährleisten, wird dringend empfohlen, eine serielle Heartbeat-Verbindung zwischen den Peers von Clean Access Manager hinzuzufügen. Die serielle Verbindung bietet eine zusätzliche dedizierte Heartbeat-Austauschmethode, die ausfallen muss, bevor das Standby-System die Kontrolle übernehmen kann. Beachten Sie, dass die eth1- Verbindung zwischen den CAM-Peers obligatorisch ist.
Verbinden Sie die Peer Clean Access Manager wie folgt:
Verwenden Sie Crossover-Kabel, um die eth1 Ethernet-Ports der Clean Access Manager- Systeme anzuschließen. Diese Verbindung wird für die Heartbeat-UDP-Schnittstelle und den Datenaustausch (Datenbankspiegelung) zwischen den Failover-Peers verwendet.
●
Verwenden Sie ein serielles Nullmodemkabel, um die seriellen Ports anzuschließen (wird dringend empfohlen). Diese Verbindung wird als zusätzlicher Heartbeat-Serial Exchange (Keep-Alive) zwischen den Failover-Peers verwendet.
●
Hinweis: Bei einer seriellen Kabelverbindung für HA (HA-CAM oder HA-CAS) muss das serielle Kabel ein "Null-Modem"-Kabel sein.
Serielle Verbindung
Wenn der Rechner, auf dem die Clean Access Manager-Software ausgeführt wird, über zwei serielle Ports verfügt, können Sie den zusätzlichen Port für die serielle Heartbeat-Verbindung verwenden. Standardmäßig wird der erste serielle Port, der auf dem CAM-Server erkannt wird, für die Konsoleneingabe/-ausgabe konfiguriert (um die Installation und andere Arten des
administrativen Zugriffs zu erleichtern).
Wenn das System nur über einen seriellen Port verfügt (COM1 oder ttyS0), können Sie den Port neu konfigurieren, um als Heartbeat-Verbindung mit hoher Verfügbarkeit zu fungieren. Dies liegt daran, dass nach der Installation der CAM-Software immer die SSH- oder KVM-Konsole für den Zugriff auf die Befehlszeilenschnittstelle des CAM verwendet werden kann.
Sie können den seriellen Port über das Kontrollkästchen Serielle Anmeldung deaktivieren aktivieren/deaktivieren auf den HA CAM-Einstellungen (unter Administration > Clean Access Manager > Network & Failover | Failover-Einstellungen | Serielle Anmeldung deaktivieren). Wenn auf dem CAM-Rechner nur ein serieller Port vorhanden ist, können Administratoren mit diesem Kontrollkästchen die serielle Anmeldung auf COM1 deaktivieren, sodass diese als serielle Heartbeat-Schnittstelle für ein Paar HA-Clean Access Manager verwendet werden kann.
Hinweis: Die serielle Anmeldung ist im CAM standardmäßig aktiviert. Wenn Sie COM1 für die serielle Heartbeat-Schnittstelle des CAM verwenden, müssen Sie auf das Kontrollkästchen Serielle Anmeldung deaktivieren klicken, um die serielle Anmeldung auf COM1 zu deaktivieren.
Konfigurieren des HA-Primary CAM
Führen Sie nach Überprüfung der erforderlichen Komponenten diese Schritte aus, um den Clean Access Manager als HA-Primär für das Hochverfügbarkeitspaar zu konfigurieren. In der Abbildung finden Sie ein Beispiel für eine Konfiguration.
Öffnen Sie die Web-Admin-Konsole, damit der Clean Access Manager als HA-Primär
festgelegt werden soll, und wählen Sie Administration > CCA Manager > SSL Certificate aus, um das SSL-Zertifikat für den primären CAM zu konfigurieren. Das Formular Temporäres Zertifikat generieren wird angezeigt.Hinweis: Bei den HA-Konfigurationsschritten in diesem Dokument wird davon ausgegangen, dass ein temporäres Zertifikat vom HA-Primary CAM in den HA-Secondary CAM exportiert wird.Wenn Sie ein temporäres Zertifikat für das HA-Paar verwenden, gehen Sie wie folgt vor:Füllen Sie das Formular Temporäres Zertifikat
generieren aus, und klicken Sie auf Generieren. Das Zertifikat muss für den Domänennamen des HA-Paars erstellt werden.Nachdem Sie das temporäre Zertifikat generiert haben, wählen Sie im Menü Aktion die Option CSR/Privater Schlüssel/Zertifikat exportieren aus.Klicken Sie auf die Schaltfläche Exportieren für Zurzeit installierten privaten Schlüssel, um den privaten SSL-Schlüssel zu exportieren. Speichern Sie die Schlüsseldatei auf dem Datenträger. Sie müssen diesen Schlüssel später in den HA-sekundären CAM importieren.Klicken Sie auf die Schaltfläche Exportieren für Derzeit installiertes Zertifikat, um das aktuelle SSL-Zertifikat zu exportieren. Speichern Sie die Zertifikatsdatei auf einen Datenträger. Sie müssen diese Zertifikatsdatei später in den HA-sekundären CAM importieren.Wenn Sie ein CA-signiertes Zertifikat für das HA-Paar verwenden, gehen Sie wie folgt vor:Hinweis: Das Zertifikat mit CA- Vorzeichen muss auf dem Domänennamen basieren, der über DNS in die Service-IP
aufgelöst werden kann. Weitere Informationen finden Sie im Abschnitt "Administration" im Cisco NAC Appliance - CAM Installations- und Administrationsleitfaden unter "CAM-SSL- Zertifikate verwalten".Wählen Sie Zertifikat importieren im Menü Aktion auswählen
aus.Verwenden Sie die Schaltfläche Durchsuchen neben dem Feld Zertifikatsdatei, und navigieren Sie zum Zertifikat mit CA-Signierung.Wählen Sie X.509 Cert aus dem Dropdown- Menü Dateityp die CA-signierte PEM-codierte Option aus.Klicken Sie auf Hochladen, um das Zertifikat zu importieren. Beachten Sie, dass Sie dieses Zertifikat später in den HA-
sekundären CAM importieren müssen.Klicken Sie auf Hochgeladene Zertifikate verifizieren und installieren.Wählen Sie CSR/Privater Schlüssel/Zertifikat exportieren aus der Dropdown- Liste Aktion auswählen aus.Klicken Sie auf die Schaltfläche Exportieren für den derzeit installierten privaten Schlüssel, um den SSL-privaten Schlüssel zu exportieren, der dem von der Zertifizierungsstelle signierten Zertifikat zugeordnet ist. Speichern Sie die Schlüsseldatei auf dem Datenträger. Sie müssen diese Datei später in den HA-sekundären CAM
importieren.
1.
Gehen Sie zu Administration > CCA Manager, und klicken Sie auf die Registerkarte Network
& Failover. Wählen Sie die HA-Primär-Option aus dem Dropdown-Menü Hochverfügbarkeitsmodus aus. Die Hochverfügbarkeitseinstellungen werden angezeigt.
2.
Kopieren Sie den Wert aus dem Feld IP-Adresse unter Netzwerkeinstellungen, und geben Sie ihn in das Feld Service-IP-Adresse ein. Die IP-Adresse für die Netzwerkeinstellungen ist die IP-Adresse des aktuellen Clean Access Manager. Es wird empfohlen, diese IP-Adresse, die von den Clean Access-Servern bereits erkannt wird, in die IP-Adresse des virtuellen Dienstes für das Clean Access Manager-Paar
umzuwandeln.
3.
Ändern Sie die IP-Adresse unter Netzwerkeinstellungen in eine verfügbare Adresse, z. B.
4.
n.152.
Jeder Clean Access Manager muss über einen eindeutigen Hostnamen verfügen, z. B.
camanager1 und camanager2. Geben Sie den Hostnamen des HA-Primary CAM im Feld Hostname unter Netzwerkeinstellungen ein, und geben Sie den Hostnamen des HA- sekundären CAM im Feld Peer-Hostname unter Failover Settings
ein.
Ein Hostname-Wert ist obligatorisch, wenn Sie die Hochverfügbarkeit einrichten, während der Hostdomäne-Name optional ist.Bei den Feldern Hostname und Peer Host Name wird die Groß- und Kleinschreibung beachtet. Stellen Sie sicher, dass Sie die hier eingegebenen Elemente mit den später für den HA-Secondary CAM eingegebenen Informationen abgleichen.
5.
Wählen Sie im Dropdown-Menü Serielle Heartbeat-Schnittstelle den seriellen Port aus, an den Sie das serielle Kabel des HA-Primary CAM angeschlossen haben, oder lassen Sie dieses k/a, wenn Sie keine serielle Verbindung verwenden.
6.
Wenn Ihr Computer nur über einen seriellen Port verfügt und Sie COM1 als serielle
Schnittstelle verwenden, müssen Sie das Kontrollkästchen Serielle Anmeldung deaktivieren aktivieren, um sicherzustellen, dass die serielle Anmeldung auf COM1 deaktiviert ist. Weitere Informationen finden Sie unter Serielle Verbindung.
7.
Um die Synchronisierung aufrechtzuerhalten, tauschen die Peers von Clean Access
Manager Daten über ein Crossover-Netzwerk aus. Sie müssen im Feld Crossover Network (Crossover-Netzwerk) einen privaten Adressbereich für das Netzwerk angeben, der derzeit nicht in Ihrem Unternehmen geroutet wird, z. B. 10.10.10. Das standardmäßig bereitgestellte Crossover-Netzwerk lautet 192.168.0.252. Wenn diese Adresse mit Ihrem Netzwerk in Konflikt steht, geben Sie einen anderen privaten Adressbereich an. Wenn Ihr Unternehmen beispielsweise das private Netzwerk 192.168.151.0 verwendet, verwenden Sie 10.1.1.x als Crossover-Netzwerk. Die Subnetzmaske und das letzte Oktett der IP-Adresse sind
festgelegt. Geben Sie daher nur den Netzwerkteil der IP-Adresse in das Feld Crossover Network (Crossover-Netzwerk) ein.
8.
Klicken Sie auf Aktualisieren und dann neu starten, um den Clean Access Manager neu zu starten.Stellen Sie nach dem Neustart des Clean Access Manager sicher, dass der CAM- Computer ordnungsgemäß funktioniert. Überprüfen Sie, ob die Clean Access-Server verbunden sind und neue Benutzer authentifiziert werden.
9.
Konfigurieren des HA-sekundären CAM
Führen Sie diese Schritte aus, um den HA-sekundären CAM zu konfigurieren.
Öffnen Sie die Web-Admin-Konsole, damit der Clean Access Manager als HA-Sekundär festgelegt wird, und gehen Sie zu Administration > CCA Manager > SSL Certificate.
1.
Führen Sie vor dem Fortfahren folgende Schritte aus:Sichern Sie den privaten Schlüssel des sekundären CAM.Stellen Sie sicher, dass die Dateien für den privaten Schlüssel und das SSL-Zertifikat, die dem Service-IP/HA-primären CAM zugeordnet sind, verfügbar sind (die zuvor exportiert wurden, wie unter Konfigurieren des HA-primären CAM beschrieben).
2.
Importieren Sie die private Schlüsseldatei und das Zertifikat des HA-Primary CAM wie
beschrieben:Wählen Sie auf der Registerkarte SSL-Zertifikat die Option Zertifikat importieren aus dem Menü Aktion auswählen aus.Klicken Sie neben dem Feld Zertifikatsdatei auf
Durchsuchen, und navigieren Sie zur Sicherungskopie der privaten Schlüsseldatei, die mit dem Zertifikat generiert wurde, das für das HA-Paar verwendet wird.Wählen Sie Privater Schlüssel als Dateityp aus.Klicken Sie auf Hochladen, um den privaten Schlüssel
hochzuladen.Wenn Sie Zertifikat importieren aus dem Menü Wählen Sie eine Aktion aus auswählen auswählen, rufen Sie das Zertifikat (temporär oder mit CA signiert) auf, das dem privaten Schlüssel zugeordnet ist.Wählen Sie X.509-Zertifikat mit CA-Signatur als Dateityp aus.Klicken Sie auf Hochladen, um das temporäre Zertifikat oder ein Zertifizierungsstellen- signiertes Zertifikat hochzuladen.Klicken Sie auf Hochgeladene Zertifikate verifizieren und installieren.Weitere Informationen finden Sie im Abschnitt "Administration" im Cisco NAC Appliance - CAM Installations- und Administrationsleitfaden unter "CAM-SSL-Zertifikate verwalten".
3.
Gehen Sie zu Administration > CCA Manager > Network & Failover | Netzwerkeinstellungen und ändern Sie die IP-Adresse des sekundären CAM in eine Adresse, die sich von der HA- Primary CAM-IP-Adresse und der Service-IP-Adresse
unterscheidet.
4.
Legen Sie den Wert für Hostname unter Netzwerkeinstellungen auf den gleichen Wert fest, der für den Peer-Hostnamen in der HA-Primär-CAM-Konfiguration festgelegt wurde. Siehe Abbildung im Abschnitt HA Primary (HA Primäres).Hinweis: Bei den Feldern Hostname und Peer Host Name wird zwischen Groß- und Kleinschreibung unterschieden. Stellen Sie sicher, dass Sie die hier eingegebenen Daten mit den Angaben für den HA-Primary CAM
abgleichen.
5.
Wählen Sie HA-Sekundär im Dropdown-Menü Hochverfügbarkeitsmodus aus. Die Hochverfügbarkeitseinstellungen werden angezeigt.
6.
Legen Sie den Wert für die Service-IP-Adresse unter Failover Settings auf den gleichen Wert fest, der für die Service-IP-Adresse in der HA-Primary CAM-Konfiguration festgelegt wurde.
7.
Legen Sie den Wert Peer-Hostname unter Failover Settings auf den Hostnamen des HA- Primary CAM fest.
8.
Wählen Sie im Dropdown-Menü Serielle Heartbeat-Schnittstelle den seriellen Port aus, an den Sie das serielle Kabel des HA-Primary CAM angeschlossen haben, oder lassen Sie dieses k/a, wenn Sie keine serielle Verbindung verwenden.
9.
Wenn Ihr Computer nur über einen seriellen Port verfügt und Sie COM1 als serielle
Schnittstelle verwenden, müssen Sie das Kontrollkästchen Serielle Anmeldung deaktivieren aktivieren, um sicherzustellen, dass die serielle Anmeldung auf COM1 deaktiviert ist.
Weitere Informationen finden Sie unter Serielle Verbindung.
10.
Geben Sie die gleichen Einstellungen für die Crossover-Netzwerkschnittstelle wie für den HA-Primary CAM ein.
11.
Klicken Sie auf Aktualisieren und dann auf Neustart.
12.
Beim Start des Standby-CAM wird die Datenbank automatisch mit dem aktiven CAM synchronisiert.
Öffnen Sie schließlich erneut die Admin-Konsole für den Standby-Modus, und schließen Sie die Konfiguration ab. Beachten Sie, dass die Admin-Konsole für den Standby-Modus jetzt nur noch
über ein Verwaltungsmodul verfügt.
Schließen Sie die Konfiguration ab
Überprüfen Sie die Einstellungen auf der Seite Netzwerk & Failover für den Standby-CAM.
Die Konfiguration der Hochverfügbarkeit ist jetzt abgeschlossen.
Fehlschlagen eines HA-CAM-Paars
Warnung: Um einen möglichen Datenverlust bei der Datenbanksynchronisierung zu vermeiden, sollten Sie immer sicherstellen, dass der Standby-CAM aktiv ist, bevor Sie einen Fehler über den aktiven CAM melden.
Um ein HA-CAM-Paar zu sichern, führen Sie SSH auf das aktive System im Paar aus und führen einen der folgenden Befehle aus:
Herunterfahren oder
●
neu starten oder
●
Service-Perfigo-StoppDadurch werden alle Dienste auf dem aktiven Rechner beendet. Beim Ausfall des Heartbeat übernimmt der Standby-Computer die aktive Rolle. Führen Sie service perfigo start aus, um Dienste auf dem angehaltenen Computer neu zu starten. Dadurch übernimmt die angehaltene Maschine die Standby-Rolle.Hinweis: Ein Service-Perfigo- Neustart darf nicht zum Testen der Hochverfügbarkeit (Failover) verwendet werden.
Stattdessen empfiehlt Cisco das Herunterfahren oder einen Neustart auf dem Computer, um das Failover oder die CLI-Befehle, den Service Perfigo Stopp und den Start des Service- Funktionsumfangs zu testen.
●
Nützliche CLI-Befehle für HA
Dies sind nützliche Verzeichnisse, die Sie für HA im CAM kennen:
/etc/ha.d/perfigo/conf
●
/etc/ha.d/ha.cf
●
Dieses Beispiel zeigt den Speicherort der HA-Debug-/Protokolldateien sowie den Namen jedes CAM (Knotenpunkt) im HA-Paar:
[root@cam1 ha.d]#more ha.cf
# Generated by make-hacf.pl udpport694
bcasteth1
auto_failback off apiauthdefault uid=root log_badpackfalse
debug0
debugfile/var/log/ha-debug logfile/var/log/ha-log
#logfacilitylocal0 watchdog/dev/watchdog keepalive2
warntime10 deadtime15 nodecam1 nodecam2
Überprüfen des Aktiv/Standby-Laufzeitstatus des HA-CAM
In diesem Beispiel wird veranschaulicht, wie mithilfe der CLI der Laufzeitstatus (aktiv oder
Standby) jedes CAM im HA-Paar bestimmt wird. Sie finden den Befehl fostate.sh im Verzeichnis /store Ihrer letzten Aktualisierung, z. B. /store/cca_upgrade-4.x.x.
Führen Sie das Skript fostate.sh für den ersten CAM aus:
[root@cam1 cca_upgrade-4.x.x]# ./fostate.sh My node is active, peer node is standby [root@cam1 cca_upgrade-4.x.x]#
!--- This CAM is the active CAM in the HA-pair
1.
Führen Sie das Skript fostate.sh für den zweiten CAM aus:
root@cam2 cca_upgrade-4.x.x]# ./fostate.sh My node is standby, peer node is active [root@cam2 cca_upgrade-4.x.x]#
!--- This CAM is the standby CAM in the HA-pair
2.
Überprüfen des primären/sekundären Konfigurationsstatus für den HA-CAM
In diesem Beispiel wird veranschaulicht, wie mithilfe der CLI der HA-Modus (primär/sekundär) bestimmt wird, für den jeder CAM ursprünglich im HA-Paar konfiguriert wurde.
Suchen Sie den Namen der CAMs (Knoten) unter /etc/ha.d/ha.cf.
1.
Überprüfen Sie dann den Status jedes CAM, z. B.:
[root@cam1 ~]# /perfigo/control/bin/check-ha cam1 active
[root@cam1 ~]# /perfigo/control/bin/check-ha cam2 active
2.
Gehen Sie zu /Perfigo/control/tomcat und führen Sie ls -la aus.Wenn Webapps auf normale Webapps zeigen, ist dies der primäre CAM.Wenn Webapps auf admin-webapps zeigen, ist dies der sekundäre CAM.Dieser CAM ist beispielsweise der primäre CAM:
[root@cam1 tomcat]# cd /perfigo/control/tomcat [root@cam1 tomcat]# ls -la
total 216
drwxr-xr-x12 root root4096 Sep 14 23:28 . drwxr-xr-x8 root root4096 Aug 28 22:12 ..
drwxr-xr-x4 root root4096 Aug 28 22:12 admin-webapps
<output cut…..>
drwxr-xr-x2 root root4096 Aug 28 22:12 temp lrwxrwxrwx1 root root38 Sep 14 23:28 webapps ->
/perfigo/control/tomcat/normal-webapps
drwxr-xr-x3 root root4096 Aug 28 15:15 work
Dieser CAM ist der sekundäre CAM:
[root@cam2 tomcat]# ls -la total 216
drwxr-xr-x12 root root4096 Sep 14 23:33 . drwxr-xr-x8 root root4096 Sep 152006 ..
drwxr-xr-x4 root root4096 Sep 152006 admin-webapps
<output cut …>
drwxr-xr-x2 root root4096 Sep 152006 temp
lrwxrwxrwx1 root root37 Sep 14 23:33 webapps ->
/perfigo/control/tomcat/admin-webapps
drwxr-xr-x3 root root4096 Sep 14 23:25 work
3.
Fehlerbehebung
Problem 1
Ein Fehler tritt bei CAM auf"SSKEY auf dem Server stimmt nicht mit dem Wert in der Datenbank überein", wenn der sekundäre CAS im HA-Paar aktiv wird.
Lösung
Lösen Sie dieses Problem, wenn Sie den primären CAS SSKEY manuell auf den zweiten drücken (Reset SSKEY-Taste oder manuelles Überschreiben der Datei /etc/.GUSSK auf dem CAS).
Dieses Problem tritt in der Regel dann auf, wenn Sie eine Einheit austauschen und sie nicht vom/zum CAM löschen bzw. erneut hinzufügen. In diesem Fall verfügt der CAS über eine eigene SSKEY-Nummer, die auf seiner MAC-Adresse basiert und möglicherweise nicht mit der zuvor auf dem CAM festgelegten Adresse übereinstimmt. Dies gilt insbesondere für den sekundären CAS, da er über eine SSKEY-Verbindung verfügt, die auf seiner eigenen MAC-Adresse basiert. Bei der HA-Konfiguration muss selbst die sekundäre Konsole die primäre CAS-SSKEY auf Basis der primären CAS-MAC-Adresse verwenden.
Problem 2
Im Failover CAM-Paar zeigt der primäre CAM die WARNUNG an! Geschlossene Verbindungen zur Peer [x.x.x.x](Standby-IP-Adresse)-Datenbank! Bitte starten Sie den Peer-Knoten neu, um Datenbanken synchronisiert zu bringen!! Fehlermeldung.
Lösung
Wenn die primäre eth1-Verbindung getrennt wurde und nur die serielle Verbindung verbleibt, gibt der CAM einen Datenbankfehler zurück, der anzeigt, dass er nicht mit seinem HA-Gegenstück synchronisiert werden kann, und der Administrator erkennt diesen Fehler in der CAM-
Webkonsole: .
WARNING! Closed connections to peer [standby
IP] database! Please restart peer node to bring databases in sync!!
Verwenden Sie im CAM-Paar selbstsignierte oder von Dritten unterzeichnete Zertifikate, um dieses Problem zu beheben.
Problem 3
Ändern der IP-Adresse für Hochverfügbarkeit im CAM
Lösung
Versuchen Sie, den sekundären CAM mit Dienstperfigo Stopp zu deaktivieren. Auf diese Weise werden die Perfigo-Dienste nicht ausgeführt, aber die SSH-Verbindung ist weiterhin möglich.
Ändern Sie im primären CAM die IP-Adresse unter Administration > CCA Manager > Network (Verwaltung > CCA-Manager > Netzwerk). Lassen Sie es noch nicht neu starten. Wechseln Sie dann zur Registerkarte Failover, und ändern Sie die Service-IP-Adresse. Starten Sie den
Computer anschließend neu.
Sobald er vollständig aktiviert ist, stellen Sie sicher, dass er erreichbar ist. Führen Sie dann den Service Perfigo aus, um auf dem sekundären CAM zu starten, und nehmen Sie die gleichen Änderungen vor wie beim primären CAM. Dann starten Sie es neu, und es sollte als sekundäre.
Wenn für die SSL-Zertifikate ein Name ausgegeben wird, ändern Sie den DNS-Eintrag so, dass der Name in die neue Dienst-IP aufgelöst wird. Wenn sie für die IP ausgestellt wird, erstellen Sie ein neues temporäres Zertifikat neu. An diesem Punkt möchten Sie wahrscheinlich einen
Testbenutzer-Anmeldenamen haben. Wenn dies erfolgreich ist, führen Sie einen Failover auf die sekundäre Firewall durch, und stellen Sie sicher, dass Sie sich auch anmelden können.
Zugehörige Informationen
Support-Seite für Cisco NAC Appliance
●
Technischer Support und Dokumentation - Cisco Systems
●
