Cisco Cisco Firepower Management Center 4000 User Guide

4-26

FireSIGHT 系统用户指南

第 4 章      管理设备       

  集群设备

注意事项

请勿尝试在设备中安装思科未提供的硬盘驱动器。安装不受支持的硬盘驱动器可能会损坏设备。恶
意软件存储包套件仅可从思科购买，而且仅限用于 8000 系列设备。如果需要恶意软件存储包方面的
帮助，请与技术支持部门联系。有关详细信息，请参阅《FireSIGHT 系统恶意软件存储包指南》。

集群故障转移和维护模式

通过设备集群，系统手动或自动故障转移。通过使其中一个集群设备或堆栈进入维护模式，可以
手动触发故障转移。有关维护模式的详细信息，请参阅

。

在主用设备或堆栈的运行状况受损之后、系统更新期间或具有管理员权限的用户关闭设备之后，
会发生自动故障转移。在主用设备或设备堆栈经历 NMSB 故障、 NFE 故障、硬件故障、固件故
障、重要流程故障、磁盘已满条件或两个堆叠设备之间链路故障之后，也会发生自动故障转移。
如果备份设备或堆栈的运行状况同样受损，则系统不进行故障转移并会进入降级状态。其中一台
设备或设备堆栈处于维护模式中时，系统也不进行故障转移。请注意，将堆叠电缆与活动堆栈断
开连接会使该堆栈进入维护模式。关闭活动堆栈中的辅助设备也会使该堆栈进入维护模式。

注

如果活动集群成员进入维护模式并且活动角色故障切换至另一集群成员，当原活动集群成员恢复
正常运行时，它不会自动恢复活动角色。

应用策略和更新

应用策略时，策略应用到设备集群而不是单个设备或堆栈。如果策略失败，则系统不将其应用到
设备或堆栈。策略首先应用到主用设备或堆栈，然后应用到备份，以便集群始终有一个对等体处
理网络流量。

集群设备将更新作为单个实体而不是单个设备或堆栈进行接收。启动更新后，系统先将其应用到
备份设备或堆栈，随后进入维护模式，直到所有必要的流程重新启动，并且设备再次开始处理流
量。然后，系统以同样的方式将更新应用到主用设备或堆栈。

在不集群设备的情况下实现冗余

大多数情况下，可以使用思科冗余协议 (SFRP) 在不集群设备的情况下实现第 3 层冗余。 SFRP 允
许设备充当指定 IP 地址的冗余网关。通过网络冗余，可配置两台设备或堆栈以提供相同的网络连
接，从而确保网络上其他主机的连接。有关 SFRP 的详细信息，请参阅

根据 FireSIGHT 系统部署（被动、内联、路由式或交换机式），可确定如何配置设备高可用性。也
可以一次性以多个角色部署系统。在四种部署类型中，仅被动部署要求您集群设备或堆栈以提供
冗余。可以在具有或没有设备集群的情况下为其他部署类型建立网络冗余。以下各节简要概述各
部署类型中的高可用性。

被动部署冗余

被动接口通常连接到中央交换机上的分接头端口，这使其能够分析流经交换机的所有流量。如果
多台设备连接到同一分接器，则系统从每台设备生成事件。集群后，设备充当活动或备份设备，
这使系统即使在发生故障的情况下也能分析流量，同时还可防止事件重复。

内联部署冗余

由于内联集无法控制通过其传递的数据包的路由，因此其在部署中必须始终处于活动状态。因此，
冗余需要依靠外部系统才能正确路由流量。可以在具有或没有设备集群的情况下配置冗余内联集。

要部署冗余内联集，可配置网络拓扑，以便其仅允许流量通过其中一个内联集传递，同时防止循
环路由。如果其中一个内联集失败，则周围的网络基础设施会检测与网关地址的连接是否丢失，
并将路由调整为通过冗余集发送流量。