Cisco Cisco Firepower Management Center 2000 User Guide
4-33
FireSIGHT 系统用户指南
第 4 章 管理设备
集群设备
步骤 7
再次点击切换维护模式图标 (
) 使堆栈立即退出维护模式。
无需重新应用设备配置。
建立集群状态共享
许可证:可控性
受支持的设备:3 系列
集群设备或集群堆栈可通过集群状态共享同步尽可能多的状态,以便在设备或堆栈发生故障的情
况下,其他对等体可以接管而不中断流量。如果不进行状态共享,则以下功能可能无法正常执行
故障转移:
况下,其他对等体可以接管而不中断流量。如果不进行状态共享,则以下功能可能无法正常执行
故障转移:
•
严格 TCP 实施
•
单向访问控制规则
•
阻止持久性
不过请注意,启用状态共享会降低系统性能。
必须在两台设备或集群中的主堆叠设备上配置并启用高可用性链路接口,然后才能配置集群状态
共享。 3D8250 设备需要 10G 高可用性链路,而其他型号的设备需要 1G 高可用性链路。有关详
情,请参见
共享。 3D8250 设备需要 10G 高可用性链路,而其他型号的设备需要 1G 高可用性链路。有关详
情,请参见
。
注
如果集群设备进行故障转移,则系统会终止主用设备上所有现有 SSL 加密的会话。即使建立集群
状态共享,也必须在备份设备上重新协商这些会话。如果建立 SSL 会话的服务器支持会话重复使
用,并且备份设备没有 SSL 会话 ID,则其无法重新协商会话。有关详细信息,请参阅
状态共享,也必须在备份设备上重新协商这些会话。如果建立 SSL 会话的服务器支持会话重复使
用,并且备份设备没有 SSL 会话 ID,则其无法重新协商会话。有关详细信息,请参阅
。
严格 TCP 执行
对域启用严格 TCP 实施时,系统会丢弃 TCP 会话中顺序混乱的所有数据包。例如,系统丢弃
在未建立的连接上收到的非 SYN 数据包。通过状态共享,集群中的设备在故障转移后允许
TCP 会话继续,而不必重新建立连接,即使启用了严格 TCP 实施也如此。可以在内联集、虚
拟路由器和虚拟交换机上启用严格 TCP 实施。
在未建立的连接上收到的非 SYN 数据包。通过状态共享,集群中的设备在故障转移后允许
TCP 会话继续,而不必重新建立连接,即使启用了严格 TCP 实施也如此。可以在内联集、虚
拟路由器和虚拟交换机上启用严格 TCP 实施。
单向访问控制规则
如果配置了单向访问控制规则,则系统在故障转移后重新评估连接代答时,网络流量可能会与
不同于预期的访问控制规则匹配。例如,请考虑是否有包含以下两种访问控制规则的策略:
不同于预期的访问控制规则匹配。例如,请考虑是否有包含以下两种访问控制规则的策略:
Rule 1: Allow from 192.168.1.0/24 to 192.168.2.0/24
Rule 2: Block all
在未进行状态共享的情况下,如果允许的从 192.168.1.1 到 192.168.2.1 的连接在故障转移后仍
处于活动状态,并且下一个数据包被视为响应数据包,则系统拒绝连接。在进行状态共享的
情况下,中途代答会与现有连接匹配并继续允许代答。
处于活动状态,并且下一个数据包被视为响应数据包,则系统拒绝连接。在进行状态共享的
情况下,中途代答会与现有连接匹配并继续允许代答。
阻止持久性
虽然根据访问控制规则或其他因素在第一个数据包上阻止了许多连接,但在一些情况下系统
会允许通过一定数量的数据包,然后再确定是否应阻止连接。通过状态共享,系统也会立即
阻止对等设备或堆栈上的连接。
会允许通过一定数量的数据包,然后再确定是否应阻止连接。通过状态共享,系统也会立即
阻止对等设备或堆栈上的连接。
建立集群状态共享时,可以配置以下选项: