Cisco Cisco Firepower Management Center 2000 User Guide

4-8

FireSIGHT 系统用户指南

第 4 章      管理设备       

  配置高可用性

注意事项

由于系统将某些功能限制为适用于主防御中心，因此如果该设备发生故障，则必须将辅助防御中
心升级为主用设备。请参阅

。

有关设置高可用性的详细信息，请参阅以下各节：

说明如何指定主和辅助防御中心。

说明如何检查链接的防御中心的状态，以及在主防御

中心发生故障的情况下如何更改防御中心的角色。

说明如何永久移除链接的防御中心之间的链路。

说明如何暂停链接的防御中心之间的通信。

使用高可用性

许可证：任何环境

受支持的防御中心：DC1000、 DC1500、 DC2000、 DC3000、 DC3500、 DC4000

DC1500、 DC2000、 DC3500 和 DC4000 支持高可用性配置；而 DC750 和虚拟防御中心不支持高
可用性配置。思科强烈建议高可用性对中的两个防御中心为同一型号。请勿尝试在不同防御中心
型号之间设置高可用性。

尽管高可用性模式中的防御中心被指定

主和辅助，但是可以对任一防御中心进行策略或其他更

改。但是，思科建议仅更改主防御中心上的配置，并将辅助防御中心保留为备份。

防御中心定期相互更新对其配置的更改，并且对一个防御中心进行的任何更改都应该在 10 分钟
内应用在另一个防御中心上。（每个防御中心有一个 5 分钟的同步周期，但是，周期本身可能有
长达 5 分钟的时间处于不同步的状态，因此更改会在两个 5 分钟的周期内出现。）在此 10 分钟窗
口内，配置在防御中心上可能看似不同。

例如，如果在主防御中心上创建策略并将其应用到也受辅助防御中心管理的设备，则该设备可能
先联系辅助防御中心，然后防御中心再相互联系。由于辅助防御中心无法识别设备所应用的策
略，因此辅助防御中心会显示一个名为“unknown”的新策略，直到防御中心同步。

此外，如果在防御中心同步之间的同一窗口内对防御中心进行的策略或其他更改有冲突，则无论
将防御中心指定为主设备还是辅助设备，上次进行的更改优先。

建立高可用性对之前，请注意以下先决条件：

确保两个防御中心均有具有“管理员”特权的名为 

admin

 的用户帐户。这些帐户必须使用同

一密码。

请确保除 

admin

 帐户以外，两个防御中心不具有用户名相同的用户帐户。建立高可用性之前，

请移除或重命名其中一个重复用户帐户。

请注意，配置为高可用性对的防御中心既无需在同一可信管理网络上，也不必在同一地理位置中。

要确保操作的连续性，高可用性对中的两个防御中心均必须能够访问互联网；请参阅

中心共享信息。因此，如果主防御中心发生故障，则应该将辅助防御中心升级为主用设备，如