Konfiguration der Hochverfügbarkeit in Verteidigungszentren der Serie 3
Inhalt
Einführung
Voraussetzungen Anforderungen
Verwendete Komponenten Hintergrundinformationen
Funktionen für hohe Verfügbarkeit
Konfiguration wird bidirektional zwischen Peers gemeinsam genutzt Konfiguration nicht zwischen Rechenzentren synchronisiert
Konfigurieren
Voraussetzungen für die Konfiguration von Hochverfügbarkeit Konfiguration der Hochverfügbarkeit
Überprüfen Fehlerbehebung
Zugehörige Informationen
Einführung
Dieses Dokument beschreibt die Konfiguration von High Availability (HA) für Defense Center der Serie 3.
Voraussetzungen
Anforderungen
Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:
FirePOWER-Technologie
●
Grundlegende Hochverfügbarkeitskonzepte
●
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf Geräten der Firepower Defense Center Series 3 (DC1500, DC2000, DC3500, DC4000), die von der Softwareversion 5.3 auf die Softwareversion 5.4.1.6 ausgeführt werden.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten
Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Hintergrundinformationen
Um die Kontinuität der Betriebsabläufe zu gewährleisten, können Sie mit der Funktion für hohe Verfügbarkeit redundante Defense Center für das Gerätemanagement einrichten. Das Defense Center verwaltet Ereignisdatenströme von verwalteten Geräten und bestimmten
Konfigurationselementen dieser Geräte. Wenn ein Defense Center ausfällt, können Sie Ihr Netzwerk unterbrechungsfrei über das andere Defense Center überwachen.
Funktionen für hohe Verfügbarkeit
Die HA-Synchronisierung ist bidirektional, d. h., obwohl ein designiertes primäres und
sekundäres Gerät vorhanden ist, werden auf einem der Geräte hinzugefügte Änderungen auf das andere repliziert.
●
HA erfordert keine direkte Verbindung der Geräte. Die HA-Verbindung kann über einen Switch hergestellt werden, diese Verbindung muss sich jedoch in derselben Broadcast-Domäne befinden.
●
HA-Geräte kommunizieren über ihre Verwaltungs-IP an Port 8305.
●
Die HA-Synchronisierungszeit für ein Gerät beträgt fünf Minuten. Das bedeutet, dass ein Gerät nach fünf Minuten versucht, seine Konfiguration mit seinem Peer zu synchronisieren.
Da die für die Synchronisierung benötigte Zeit für Geräte spezifisch ist, kann die Synchronisierungszeit kumulativ auf zehn Minuten maximiert werden.
●
Wenn für einen bestimmten HA-Peer ein neues Image erforderlich ist, wird empfohlen, die HA-Klasse zu brechen und anschließend ein neues Image zu erstellen.
●
Wenn Sie ein Upgrade des HA-Clusters planen, ist es nicht erforderlich, die HA zu unterbrechen. Wenn Sie ein Upgrade von Version 5.3.0 auf Version 5.4.0 durchführen, aktualisieren Sie die Geräte einzeln und führen eine Synchronisierungsaufgabe im primären Defense Center durch.
●
Durch das Vorhandensein einer Zugriffsrichtlinie mit dem gleichen Namen auf beiden Rechenzentren werden zwei Zugriffskontrollrichtlinien mit demselben Namen erstellt. Eine Richtlinie wird lokal konfiguriert, die andere vom Peer-DC synchronisiert.
●
Hinweis: Sie können ein Ziel nicht hinzufügen oder diese Richtlinie anwenden, da sie einen Fehler auslöst, der besagt, dass bereits eine Richtlinie mit demselben Namen vorliegt.
Die Lizenzen sind nicht zwischen Gleichstrom-Peers synchronisiert, daher müssen sie den Gleichstromgeräten separat hinzugefügt werden.
●
Alle verwalteten Geräte werden nur einem Rechenzentrum hinzugefügt. Die Konfiguration wird zwischen den Peer-DCs synchronisiert.
●
Verwaltete Geräte senden Protokolle an beide Rechenzentren.
●
Rechenzentren synchronisieren die neuesten Aktionen. Wenn Sie beispielsweise einen Benutzer aus RZ-1 löschen, synchronisiert der andere Peer RZ-2 die Benutzerkonfiguration nicht mit RZ-1. Es synchronisiert die Löschaktion, und der Benutzer verlässt sowohl das RZ-1 als auch das RZ-2.
●
Konfiguration wird bidirektional zwischen Peers gemeinsam genutzt
Hochverfügbarkeits-Rechenzentren synchronisieren Richtlinien bidirektional. Diese
Konfigurationen werden bidirektional zwischen Peers synchronisiert. Sie können die meisten dieser Konfigurationen auch mit dem genau daneben definierten Pfad anzeigen:
Identitäten und Authentifizierung
Externe LDAP-Konfiguration - Navigieren Sie zu System > Local > User Management >
External Authentication
●
Benutzer (intern und extern): Navigieren Sie zu System > Lokal > Benutzerverwaltung >
Benutzer
●
Benutzerdefinierte Benutzerrollen - Navigieren Sie zu System > Lokal > Benutzerverwaltung >
Benutzerrollen.
●
Berichte
Berichtsvorlagen: Navigieren Sie zu Übersicht > Berichte > Berichtsvorlagen.
●
Konfigurierbare Richtlinien (im Abschnitt "Richtlinien")
Zugriffskontrollrichtlinien, Zugriffsrichtlinien, Dateirichtlinien, SSL-Richtlinien,
Netzwerkzugriffsrichtlinien, Korrelationsrichtlinien und -regeln, Compliance-Whitelist und Datenverkehrsprofile.
●
Angriffsregeln (lokal und SRU)- Navigieren Sie zu Richtlinien > Intrusion > Rule Editor > Local Rules.
●
Netzwerkerkennung, Hostattribute, Benutzerfeedback zur Netzwerkerkennung, einschließlich Notizen und Wichtigkeit des Hosts, Löschen von Hosts, Anwendungen und Netzwerken aus der Netzwerkübersicht und Deaktivieren oder Ändern von Schwachstellen.
●
Benutzerdefinierte Anwendungserkennung
●
LDAP-Verbindungen in Benutzerrichtlinien - Navigieren Sie zu Richtlinien > Benutzer.
●
Warnungen: Navigieren Sie zu Richtlinien > Aktionen > Warnungen (unter Antworten).
●
Geräteinformationen
NAT-Regeln - Navigieren Sie zuGeräte > NAT
●
VPN-Regeln: Navigieren Sie zuGeräte > VPN.
●
Alle Geräteinformationen, einschließlich Name und Gruppe, werden bidirektional
synchronisiert. Speicherort für Protokollspeicher für jedes Gerät wird auch zwischen Peers synchronisiert - Navigieren Sie zu Geräten > Gerätemanagement.
●
Benutzerdefinierte Angriffsregelklassifizierungen
●
Benutzerdefinierte Fingerprints aktiviert
●
Systemrichtlinien und Integritätsrichtlinien
●
Benutzerdefinierte Dashboards, benutzerdefinierte Workflows und benutzerdefinierte Tabellen
●
Abstimmung, Snapshots und Berichtseinstellungen ändern
●
Updates von Sourcefire-Regelaktualisierungen (SRU), Geolocation-Datenbank (GeoDB) und
●
Schwachstellendatenbanken (VDB)
Konfiguration nicht zwischen Rechenzentren synchronisiert
Benutzer-Agent-Informationen in der Benutzerrichtlinie
●
NMAP-Scans
●
Antwortgruppen
●
Problembehebungsmodule
●
Beseitigungsinstanzen
●
Estreamer und Host Input Client
●
Sicherungsprofile
●
Zeitpläne
●
Lizenzen
●
Aktualisierungen
●
Gesundheitswarnungen
●
Konfigurieren
Voraussetzungen für die Konfiguration von Hochverfügbarkeit
Die Geräte müssen über dieselbe Software- und Hardwareversion verfügen.
●
Auf den Geräten muss dasselbe VDB installiert sein.
●
Die Geräte müssen über dieselbe SRU verfügen.
●
Stellen Sie sicher, dass beide Defense Center über ein Benutzerkonto mit dem Namen admin mit Administratorrechten verfügen. Diese Konten müssen dasselbe Kennwort verwenden.
●
Stellen Sie sicher, dass die beiden Defense Center über keine Administratorkonten mit identischen Benutzernamen verfügen. Entfernen oder umbenennen Sie eines der doppelten Benutzerkonten, bevor Sie eine hohe Verfügbarkeit feststellen.
●
Stellen Sie sicher, dass beide Geräte keine Zugriffskontrollrichtlinien mit demselben Namen haben. Wenn zwei Zugriffskontrollrichtlinien mit demselben Namen vorhanden sind, existieren beide gleichzeitig in den Rechenzentren. Sie können jedoch keinem Gerät zugeordnet
werden.Sobald Sie diese Richtlinie nach dem Hinzufügen eines Zielgeräts speichern, wird diese Konfiguration mit einem Fehler abgelehnt, wie im Bild gezeigt:
●
Beide Verteidigungszentren müssen Zugang zum Internet haben.
●
Konfiguration der Hochverfügbarkeit
Dies sind die acht Schritte zur Konfiguration der Hochverfügbarkeit.
Schritt 1: Bestätigen Sie, dass die Software- und Hardwareversion zusammen mit der VDB- Version und der Regelaktualisierungsversion identisch sind.
Schritt 2: Um Ihr Gerät sekundär zu machen, navigieren Sie zu System > Local > Registration (System > Lokal > Registrierung), wie im Bild gezeigt. Stellen Sie sicher, dass Sie auf diesem
Rechenzentrum nicht konfiguriert sind.
Schritt 3: Klicken Sie unter der Registerkarte Hohe Verfügbarkeit auf Klicken Sie hier, um dies als sekundäres Verteidigungszentrum einzurichten, wie im Bild gezeigt:
Schritt 4: Wenn Sie Schritt 3 abgeschlossen haben, wird eine Seite angezeigt, wie im Bild gezeigt.
Fügen Sie die IP-Adresse des primären RZ und den Pass-Key hinzu. Stellen Sie sicher, dass Sie eine eindeutige NAT-ID für Geräte hinzufügen, die sich hinter einer Network Address Translation befinden.
Schritt 5: Wenn die IP-Adresse verifiziert wurde, klicken Sie auf Registrieren. Sie sehen eine Seite, wie im Bild gezeigt:
Das bedeutet, dass HA im sekundären RZ konfiguriert ist und Sie es im primären RZ konfigurieren müssen.
Schritt 6: Melden Sie sich bei dem Gerät an, das Sie als primäres Rechenzentrum konfigurieren möchten. Navigieren Sie zu System > Local > Registration (System > Lokal > Registrierung).
Klicken Sie auf der Registerkarte Hohe Verfügbarkeit auf Klicken Sie hier, um das primäre Verteidigungszentrum hinzuzufügen, wie im Bild gezeigt:
Schritt 7: Nachdem Sie Schritt 6 abgeschlossen haben, wird eine Seite angezeigt, wie im Bild gezeigt:
Fügen Sie die sekundäre DC-IP hinzu. Geben Sie denselben Registrierungsschlüssel und dieselbe NAT-ID an, die Sie bei der Konfiguration des sekundären Rechenzentrums erhalten haben.
Schritt 8: Wenn die Details der IP überprüft wurden, klicken Sie auf Registrieren. Nach Abschluss der Registrierung wird die Seite "Erfolg" angezeigt, wie im Bild gezeigt:
Nach 5-10 Minuten sind die Konfiguration und Synchronisierung der HA abgeschlossen.
Die Konfiguration und Synchronisierung der HA dauert fast 5-10 Minuten.
Überprüfen
Schritt-für-Schritt-Konfiguration, um sicherzustellen, dass Ihre Rechenzentren korrekt für hohe Verfügbarkeit konfiguriert sind.
Schritt 1: Navigieren Sie zu System >Lokal >Registrierung auf dem primären Gerät, wie im Bild gezeigt:
Schritt 2: Navigieren Sie zu System >Lokal >Registrierung. auf dem Sekundärgerät wie in der Abbildung gezeigt:
Fehlerbehebung
Dieser Abschnitt enthält grundlegende Schritte zur Fehlerbehebung für Hochverfügbarkeit.
Stellen Sie sicher, dass beide Rechenzentren auf dem TCP-Port 8305 lauschen, da HA diesen Port zum Synchronisieren von Informationen und Heartbeats verwendet.
●
Stellen Sie sicher, dass der TCP-Port 8305 nicht im Netzwerk oder von zwischengeschalteten Geräten blockiert ist.
●
Die HA-Erstellung schlägt fehl, wenn ein veralteter Eintrag eines vorherigen Peer-Geräts vorhanden ist, das entfernt oder ersetzt wird. Die EM_Peers-Tabelle enthält weitere Informationen zu diesen Peer-Geräten.
●
Zugehörige Informationen
Konfiguration des Stacks auf Geräten der Cisco FirePOWER Serie 8000
●
FireSIGHT System - Benutzerhandbuch 5.4.1
●
Technischer Support und Dokumentation - Cisco Systems
●