IP : Dispositivos de segurança Cisco PIX 500 Series

Como o Failover trabalha no firewall PIX segura Cisco

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (23 Março 2008) | Inglês (22 Agosto 2015) | Feedback


Interativo: Este documento oferece análise personalizada do seu dispositivo Cisco.


Índice


Introdução

O uso de um par de dispositivos PIX idênticos (modelo, memória, placas de interface de rede - NICs e versões de sistemas operacionais), é possível oferecer alta disponibilidade sem intervenção do operador.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não é restringido às versões de software específicas. Todos os modelos de PIX apoiam o Failover exceto 501 e modelos 506E.

Nota: Este documento não cobre as versões de software 7.0 e mais tarde o Dispositivos de segurança Cisco PIX série 500. Refira o capítulo configurando do Failover do guia de configuração de CLI do dispositivo do Cisco Security, versão 7.0.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Um PIX é considerado a unidade "Ativa", enquanto o outro é a unidade de "Espera". Enquanto o nome implica, a unidade ativa executa funções da rede normal quando os monitores de unidade em standby, se aprontarem para tomar o controle se a unidade ativa não executa sua funcionalidade. Se o comando show version não mostra que o Failover está permitido e você tentativa de fazer o Failover, contacte seu equipe de conta da Cisco local a fim comprar uma upgrade de licença.

Para obter mais informações sobre da upgrade de licença, refira a elevação da chave de licença em um par de failover.

Cada uma das duas unidades tem uma presença na rede. A unidade ativa usa o endereço IP do sistema e os endereços MAC da unidade Primária. A unidade primária é determinada pela unidade que tem o fim do “preliminar marcado cabo de comutação” obstruído nela, ou pelo PIX que é configurado com o comando failover lan unit primary. Este comando é introduzido na versão do PIX OS 6.2. A unidade em standby usa o endereço IP de Um ou Mais Servidores Cisco ICM NT do Failover e os endereços MAC da unidade secundária. Se um switchover ocorre, as unidades trocam o endereço IP de Um ou Mais Servidores Cisco ICM NT e endereços que MAC se usam a fim substituir a presença de cada um na rede. Esta ação fica invisível para a rede. O IP aos relacionamentos do MAC address permanece exatamente o mesmo. Consequentemente, nenhuma tabela ARP na rede precisa de cronometrar para fora ou de ser mudada. Nenhuma outra parte do equipamento da rede precisa saber sobre a redundância ou que ocorreu um switchover. Note que o sistema IP e os endereços IP de Um ou Mais Servidores Cisco ICM NT do Failover devem estar na mesma sub-rede, tão há a possibilidade que não pôde haver um roteador entre as duas unidades.

Cabo de failover

O cabo de comutação é o único hardware adicional exigido para apoiar a comutação de PIX. No PIX 6.2 e posterior, você também pode obter um failover com ou sem um cabo de failover. O cabo de failover é um cabo de enlace serial RS-232 modificado com uma configuração de velocidade de 9600 baud.

Nota: No PIX Software Release 5.2 (5.1.2.201), a velocidade é mudada a uma baud 115.2 K. Também, o cabo de comutação não pode ser prolongado.

A comunicação básica de failover é através do cabo de comutação ou através da interface de LAN que é configurada com o comando failover lan interface interface_name na versão do PIX OS 6.2 e mais atrasado. Uma comunicação de failover através do cabo de comutação mensagem-é baseada e precisa de ser segura. Cada mensagem enviada é confirmada (ACKed). Se uma mensagem não é enviada e recebida sem erros pelo outro PIX em três segundos, a mensagem está retransmitida. Após cinco retransmissões sem um ACK (para um total de 15 segundos), uma condição do Failover é provocada pelo PIX em standby.

A comunicação de failover através do cabo de failover inclui:

  • Intercâmbio de endereços MAC

  • Saudação (uma manutenção de atividade)

  • Estado (Ativo/Standby)

  • Status do Link de Rede

  • Replicação de configuração

Replicate a configuração de PIX

As duas unidades devem ter o exatamante a mesma configuração e devem executar a mesma versão de software. Isto é realizado facilmente, desde que a replicação de configuração ocorre sobre o cabo de comutação, ou da interface de LAN configurada com o comando failover lan interface interface_name, da unidade ativa à unidade em standby nestas maneiras:

  • Quando a unidade standby completa sua inicialização inicial, a unidade ativa replica totalmente sua configuração na unidade standby. Isto ocorre se você usa um cabo de comutação porque você precisa a configuração inicial em ambas as unidades principais e secundárias a fim as identificar como unidades principais e secundárias. Esse recurso foi introduzido para superar a velocidade e o comprimento do cabo serial.

  • À medida que os comandos são inseridos na unidade ativa, eles são enviados pela unidade em standby.

  • Quando você inscreve o comando write standby na unidade ativa, você força a configuração completa à memória na unidade em standby.

A replicação de configuração faz uma cópia “memória para memória”. Uma vez que isto termina, você precisa de emitir um comando write memory na unidade ativa a fim escrever a configuração na memória Flash da unidade em standby. As mensagens de console "sync started" e "sync completed" são exibidas durante esta operação. As grandes configurações podem tomar por algum tempo para transferir. Se um switchover ocorre durante a replicação, o PIX ativo novo tem somente uma configuração parcial. A unidade, então, se reinicializa para recuperar a configuração do flash ou re-sync pela outra unidade.

A replicação da configuração só ocorre da unidade ativa para a unidade de standby. As alterações feitas na unidade em standby não passam para a unidade ativa.

Monitoramento de failover

Há um intervalo de apuração de failover de 15 segundos (depois que a versão 5.0 ele é configurável) para monitorar a atividade de rede, as comunicações de failover, e o status de energia. Uma falha de qualquens um parâmetros na unidade ativa faz com que a unidade em standby tome o controle ativo. Sempre que uma falha é detectada na unidade, ela fecha suas interfaces de rede.

As duas unidades enviam a falha especial “olá!” pacotes entre si sobre o cabo de comutação e tudo conecta cada 15 segundos (exclui aqueles que são administrativamente parada programada). Se uma ou outra unidade não ouve “olá!” em uma relação para duas verificações de apuração consecutivas, o PIX põe que interface de LAN no modo de teste a fim determinar onde a falha se encontra. Se um PIX em standby não recebe “olá!” do cabo de comutação para duas verificações de apuração consecutivas, o PIX em standby inicia um switchover e declara o outro PIX falhado. Se um PIX ativo não ouvir as mensagens de “saudação”, ele permanece ativo e estabelece o outro PIX como falha.

Uma interface de rede será colocada no modo de teste caso o pacote de saudação não seja recebido. Um teste da interface de rede é sem intrusão. Isto significa que quando reagir do modo de teste, ainda tenta passar o tráfego normal. O processo testando consiste em quatro testes individuais (teste de status, teste de atividade de rede, tese do protocolo de resolução de endereço (ARP) e teste de ping NIC) alinhados para o stimluation do tráfego de rede. Se uma relação que reaja do modo de teste pode receber o tráfego, considera-se operacional. Se pode ouvir o outro tráfego de rede, supõe-se que o erro deve ser com a outra unidade não capaz de enviar “olá!” o pacote. Isto conduz a falhar a outra unidade. Se se determina que a unidade de teste não pode receber o tráfego de rede quando a outro puder, a unidade de teste falha-se.

Além de monitorar todas as interfaces de rede, o failover também monitora o status de energia da outra unidade, bem como o status do próprio cabo de failover. O cabo de failover oferece a capacidade de detectar se a outra unidade está conectada e ativa. Se o cabo estiver desconectado de qualquer uma das unidades, a switching é desativada. Se uma unidade ativa perde a potência, a unidade em standby toma sobre dentro de 15 segundos. Uma unidade no estado "falha" aguarda 15 segundos e, em seguida, tenta fazer a transição para o estado "standby". Se a transição dispara uma falha, a unidade falha novamente. Você pode usar o comando failover reset a fim restaurar manualmente o PIX do falhado ao estado à espera. Se a transição dispara uma falha, a unidade falha novamente. Um PIX no estado com falha não pode comutar para o estado ativo.

Se a falha for decorrente de uma condição "link down" em uma interface, uma condição "link up" elimina o estado de falha (por exemplo, se uma interface está desconectada e, é conectada mais tarde).

Nota:  Refira configurar o Failover para informações detalhadas sobre das características do Failover da versão de PIX 7.0.

Fail Back

Sempre que uma falha ou um interruptor ocorrem, os mensagens do syslog são gerados que indicam o que aconteceu. O failback para a unidade primária não está sendo forçado. O failback não é uma atividade forçada, pois não há nenhum motivo para comutar os papéis active (ativo) e standby (em espera). Consequentemente, quando uma unidade principal falha é fixa e trazida para trás na linha, não recomeça automaticamente como a unidade ativa. A fim forçar uma unidade para ser a unidade ativa, use o comando failover ative na unidade em standby ou no comando no failover ative na unidade ativa. Se a comutação classificada é usada, a seguir a informação de estado de conexão passa da unidade ativa à unidade em standby. Caso contrário, as informações de estado não serão rastreadas e as sessões deverão ser restabelecidas pelos aplicativos. Isto significa que todas as conexões ativa deixam cair após um switchover. Como a unidade recém-ativa assume os mesmos endereços IP e MAC da unidade ativa anteriormente, nenhuma entrada ARP precisa de alteração ou intervalo em nenhum lugar da rede.

Em EFT 5.0 e mais atrasado, o intervalo de apuração de failover de 15 segundos é mudado para ser configurável. O intervalo pode ser ajustado entre 3 a 15 segundos, reconhecendo a variação em detectar a falha de placas de interface diferentes.

Teste de interface

No evento “olá!” os pacotes não são recebidos em uma relação, ou as esperas de uma relação para “olá!” mais de 2.5 minutos depois que a outra relação entrou no estado normal, a relação estão colocadas no modo " testando " (se a relação não é parada programada e o estado do link está acima). Quando isso ocorre, a outra unidade é informada, pelo cabo de failover, de que a interface está no modo de teste. Quando uma relação reagir do modo de teste, o tráfego normal pode fluir, desde que a relação funciona corretamente. Os testes são começados somente se uma condição de erro ocorreu e é baseada consequentemente na ideia que “se eu sou aprovado, a seguir você deve ser falhado.” Os testes consistem em quatro testes consecutivos:

  1. Teste de status NIC

    Este teste é uma verificação de enlace ativo/inativo do próprio NIC. Se uma placa de interface não é obstruída em uma rede operacional, considera-se falhado.

  2. Teste de atividade de rede

    Este teste é da “um teste da atividade rede recebida”. Os contagens de unidade todos os pacotes recebidos por até os segundos 5. Se houver qualquer recepção de pacotes durante este intervalo, a interface é considerada operacional e o teste é interrompido. Se não for recebido nenhum tráfego, a unidade executará um teste de ARP.

  3. Teste ARP

    No teste ARP, o cache ARP da unidade é lido para as dez entradas recentemente adquiridas. Então, um de cada vez, a unidade envia requisições ARP a estas máquinas, na tentativa de estimular o tráfego de rede. Depois de cada solicitação, a unidade conta todo o tráfego recebido por até 5 segundos. Se o tráfego é recebido, a interface é considerada operacional. Se nenhum tráfego for recebido, uma requisição ARP será enviada para a próxima máquina. Se na extremidade da lista o sem tráfego foi recebido, a unidade executa o teste de ping.

  4. Teste de ping

    A fim executar o teste de ping, a unidade manda um pedido do ping de broadcast. Em seguida, a unidade conta todos os pacotes recebidos por até 5 segundos. Se houver qualquer recepção de pacotes durante este intervalo, a interface é considerada operacional e o teste é interrompido. Se nenhum tráfego for recebido, o teste começará de novo com o teste ARP.

No começo de cada teste, ambas as unidades limpam a contagem recebida para a interface. No final de cada teste, as primeiras verificações da unidade de teste para ver se recebeu algum tráfego. Em caso afirmativo, considera-se operacional e falha-se a outra unidade. Caso contrário, pergunta à outra unidade se ela recebeu algum tráfego. Em caso afirmativo, a unidade de teste considera que ela mesma falhou. Se nenhuma unidade recebeu algum tráfego, é executado o próximo teste. Se a unidade solicitante não receber os resultados do teste da outra unidade a qualquer momento, ela vai considera que a outra unidade falhou como se não tivesse recebido a mensagem de saudação no cabo de failover. Se uma unidade ativa for determinada como falha, um switchover ocorre. Se for detectado que uma unidade de standby falhou, isto não permitirá que ela assuma o controle ativo. Os resultados destes testes são enviados com o Syslog por ambas as unidades ativa e em standby.

Tabela de decisão de hardware

Em cada PIX, o Failover mantém uma tabela de decisão de hardware (HDT) de ambos os dispositivos de PIX a fim decidir que PIX é o dispositivo ativo e apropriado. Quando há uma alteração no estado da interface NIC, o failover busca o driver de dispositivo, o HDT local é atualizado e a alteração é enviada para o outro PIX. Embora as tabelas HDT são comparadas em cada ciclo de eleição, é a segunda votação que pode fazer com que um apoio usurpe o controle do active iniciando o switchover.

Operando Failover em Ambientes Comutados

Há duas edições a endereçar nos ambientes comutados. Primeiramente, o interruptor precisa de aprender que um endereço MAC particular se moveu de uma porta para outra. Cada unidade (a menos que a unidade é falhada) transmite uma série de mensagens de failover em cada relação com o uso de seus MAC e endereços IP de Um ou Mais Servidores Cisco ICM NT novos. Isto permite que o interruptor atualize suas tabelas de MAC interno. Cisco recomenda fortemente que os clientes permitem o portfast em todas as portas de switch que conectam às interfaces de PIX. Além, necessidade da canalização e do entroncamento de ser desabilitado nestas portas. Assim, se a relação do PIX vai para baixo durante o Failover, o interruptor não tiver que esperar 30 segundos quando as transições de porta de uma escuta a aprendizagem ao estado de encaminhamento.

Esse bloqueio do tráfego da rede nos leva ao segundo problema. Se “olá!” os pacotes que estão enviados pelo Failover não obtêm enviados, cada unidade pensa que algo é erro e começa a testar suas relações. Isto conduz à falha de uma unidade porque os resultados de teste são “se eu sou aprovado, a seguir você deve ser falhado.” A fim obter em torno deste problema, quando um switchover ocorre, as unidades entram em um estado " aguardando ". Neste tráfego de rede do estado está livre correr através da unidade ativa, mas de esperas do Failover para que dois mensagens " hello " sejam recebidos antes que monitore relações outra vez. Isto permite que o interruptor entre em um estado de bloqueio sem Failover de interrupção. Uma vez que o segundo mensagem " hello " é ouvido, o Failover recomeça a monitoração normal de suas relações.

Para o software PIX versão 5.2 e posteriores, quando um dispositivo altera o estado em standby para ativo, ou de ativo para standby, um ARP gratuito é definido para cada interface de rede para que ele faça novamente o broadcast dos novos endereços IP e MAC.

Failover stateful

Sem reter a informação do stateful PIX, após um switchover, todas as conexões existentes são deixadas cair e o aplicativo é exigido para reinitiate. Na liberação do software de PIX 5.0, o PIX fornece a comutação classificada de modo que uma conexão existente possa ficar acima após um switchover.

A fim apoiar a comutação classificada, uma relação do LAN dedicado entre os dois dispositivos de PIX é exigida. O logical update (LU) é o módulo de software que fornece o transporte aos aplicativos PIX que apoiam a comutação classificada. A atualização de estado ocorre de ativo a standby por meio da interface de LAN. A atualização do estado enviada ao PIX em standby é provocada pelo aplicativo. O transporte de LU é semelhante ao de UDP, sem aplicativos de retransmissão e bloqueio para retardar o processamento normal de pacotes. Os pacotes de atualização de estado são transmitidos assincronamente no plano de fundo. Não obstante, o protocolo LU é tempo real, e fornece a notificação de erro e os relatórios que faltam atualizações do estado monitorando finalidades.

A sincronização no estado inicial é executada após a replicação da configuração. Isso é feito por meio do exame dos registros da tabela de conexão e de conversão. Após o esse, uma atualização do estado pode ser provocada.

Os registros de tradução do endereço PIX (xlate, estático e dinâmico) e de conexão conn) são dados de estado essenciais e são passados à unidade em standby pela unidade ativa, juntamente com outras informações de estado. Como o failover não pode ser programado, a atualização do estado para a conexão é baseada nos pacotes. Isto significa passagens de cada pacote com o PIX e muda o estado de uma conexão, que possa provocar uma atualização do estado.

As tabelas de estado TCP são transferidas. Contudo, à revelia o HTTP (porta TCP 80) não replicated. Na versão 6.0 e mais recente, você pode usar o HTTP do replicate do comando failover a fim reforçar a replicação do estado da porta TCP 80. A maioria de tabelas de estado UDP não são transferidas, à excecpção das portas dinamicamente abertas que correspondem protocolos do multi-canal tais como H.323 e VoIP. Consequentemente, as resoluções DNS não são transferidas porque é uma porta do canal único.

Há aplicações que são sensíveis à latência e, em alguns casos, o tempo limite da aplicação vence antes da conclusão da seqüência. Nesses casos, o aplicativo deve restabelecer a sessão.

Nota: Não há nenhuma lista abrangente dos aplicativos que podem ser deixados cair devido ao tempo onde toma para que o apoio tome sobre. Um bom princípio básico é esperar o apoio tomar os segundos 10 para tomar sobre usando a comutação classificada. Sem comutação classificada pode tomar até um minuto para restabelecer conexões.

Nota: A única advertência sobre a comutação classificada é o que causa o Failover. Se você tem o Failover olá! ajustado ao máximo de 15 segundos e a interface interna vai ruim, a seguir o apoio não declara que o preliminar falhou até que falte pelo menos dois hellos, 30 segundos. Alguns povos ajustam os hellos do Failover ao mínimo de 3 segundos mas por outro lado o PIX pode Failover desnecessariamente. Cisco recomenda que você se ajusta olá! ao máximo de 15 segundos.

Comandos de failover

  • [no] failover – Ativa ou desativa failover.

  • [no] failover active - Faz com que uma unidade torne-se ativa/em standby.

  • failover ip address #.#.#.# – Configura o endereço IP de failover.

  • reinicialização de failover - Cancela o estado falho de ambas as unidades e reinicia o Failover.

  • [no] failover link interface – Especifica qual interface deve ser utilizada para transmitir atualizações de estado do PIX ativo para o de standby no failover total.

  • segundos da eleição failover - Especifica o intervalo de apuração de failover (versão de software de PIX 5.2 e mais atrasado).

  • unidade lan do Failover preliminar | secundário - Usado no Failover LAN-baseado para definir preliminar/secundário (versão de PIX 6.2 e mais atrasado).

  • o lan do Failover permite - Specifies LAN-baseou o Failover (versão de PIX 6.2 e mais atrasado).

  • lan_if_name da relação lan do Failover - O nome da interface de firewall dedicada ao Failover LAN-baseado (versão de PIX 6.2 e mais atrasado).

  • key_secret da chave lan do Failover - Permite criptografia e autenticação de mensagens de failover LAN-baseados entre Firewall PIX usando a chave secreta (versão de PIX 6.2 e mais atrasado).

  • stn_mac do act_mac do mif_name do MAC address do Failover - Permite-o de configurar um endereço MAC virtual para um par de failover do PIX Firewall em vez de contactar o outro par para obter o MAC address (versão de PIX 6.2 e mais atrasado).

Exemplo de saída do comando show failover

Estes exemplos supõem que o cabo de failover foi instalado e está operacional. Eles também supõem que as unidades foram configuradas com um endereço IP de sistema de 192.168.89.1 e um endereço IP de failover de 192.168.89.2.

Exemplo: Failover normal

Este exemplo é a saída normal do comando show failover. Observe que o endereço IP de cada unidade é exibido. Se nenhum endereço IP de failover tiver sido inserido, ele exibirá 0.0.0.0 e o monitoramento das interfaces permanecerá no estado em "espera". Veja o exemplo: O monitoramento de failover não começou a seção para uma explicação do estado " aguardando ".

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active 
			Active time: 6885 (sec)
			Interface 0 (192.168.89.1): Normal 
			Interface 1 (192.168.89.1): Normal 
		Other host: Secondary - Standby 
			Active time: 0 (sec)
			Interface 0 (192.168.89.2): Normal 
			Interface 1 (192.168.89.2): Normal 

Exemplo: Monitoramento de failover não iniciada

Este os exemplos demonstram o que acontece quando o Failover não começou monitorar as interfaces de rede. O Failover não começa monitorar as interfaces de rede até que ouça o segundo “olá!” pacote da outra unidade nessa relação. Isto toma aproximadamente 30 segundos. Se a unidade é anexada a um switch de rede que execute o Spanning Tree Protocol (STP), este toma duas vezes o tempo do “retardo de encaminhamento” configurado no interruptor (configurado tipicamente como 15 segundos), mais este segundo atraso 30. Isto é porque no bootup de PIX e imediatamente depois de um evento do Failover, o switch de rede detecta um Loop de Bridge temporário. Após detecção deste laço, para de enviar pacotes nestas relações pelo tempo do “retardo de encaminhamento”. Incorpora então o modo " ouvir " por uma época adicional do “retardo de encaminhamento”, durante que a hora o interruptor escuta loop de bridge mas não tráfego de encaminhamento (e assim transmissão do Failover “olá!” pacotes). Após duas vezes o tempo de retardo de encaminhamento (30 segundos), o tráfego recomeça fluir. Cada PIX permanece no modo de espera até ouvir 30 segundos de pacotes de saudação da outra unidade. Durante o tempo em que o PIX está transferindo tráfego, não haverá falhas em relação à outra unidade se o PIX não “ouvir” os pacotes de saudação. Todo monitoramento de failover restante ainda ocorre (isto é, potência, perda de interface de enlace, e cabo de comutação “olá!”).

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active 
			Active time: 6930 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)
		Other host: Secondary - Standby 
			Active time: 15 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Normal (Waiting)

Exemplo: Falha de unidade

Neste exemplo, o Failover detecta uma falha. Observe que a Interface 1 na unidade principal é a origem da falha. As unidades estão de volta no modo Waiting devido à falha. A unidade falha removeu-se da rede (as relações estão para baixo) e já não envia “olá!” pacotes na rede. A unidade ativa permanece em um estado " aguardando " até que a unidade falha esteja substituída e as comunicações de failover começarem outra vez.

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Standby (Failed)
			Active time: 7140 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Failed (Waiting)
		Other host: Secondary - Active 
			Active time: 30 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)

Exemplo: Failover stateful

Este exemplo mostra a saída do comando show failover com a comutação classificada permitida. Note que a “frequência de eleição 4 segundos” está indicada. A quarta interface de rede está desligada de forma administrativa. A interface de rede FailLink é o link da comutação classificada.

Failover On
Cable status: Normal
Reconnect timeout 0:00:00
Poll frequency 4 seconds
        This host: Secondary - Active 
                Active time: 167464 (sec)
                Interface gb (7.7.7.1): Normal 
                Interface 4th (172.1.1.3): Link Down (Shutdown)
                Interface FailLink (8.8.8.1): Normal 
                Interface pix/intf2 (100.2.1.3): Normal 
                Interface outside (100.1.1.3): Normal 
                Interface inside (10.1.1.3): Normal 
        Other host: Primary - Standby 
                Active time: 0 (sec)
                Interface gb (7.7.7.2): Normal 
                Interface 4th (172.1.1.4): Link Down (Shutdown)
                Interface FailLink (8.8.8.2): Normal 
                Interface pix/intf2 (100.2.1.4): Normal 
                Interface outside (100.1.1.4): Normal 
                Interface inside (10.1.1.4): Normal 


Stateful Failover Logical Update Statistics
     Link : FailLink
     Stateful Obj    xmit       xerr       rcv        rerr 
     General        22501          0     34259           0 
     sys cmd        16007          0     33961          13 
     up time            4          0         2           0 
     xlate           5094          0         6           0 
     tcp conn         514          0       290           0 
     udp conn           0          0         0           0 
     ARP tbl          882          0         0           0 
     RIP Tbl            0          0         0           0 
     Logical Update Queue Information
              Cur   Max    Total
     Recv Q:    0     3    34259
     Xmit Q:    0     7    22504

Outras informações sobre failover estão disponíveis no guia de configuração do firewall de PIX.

Se você tem a saída de um comando show failover de seu dispositivo Cisco, você pode usar o Output Interpreter (clientes registrados somente) para indicar problemas potenciais e reparos.

Failover baseado em LAN

Diagrama de failover baseado em LAN

/image/gif/paws/5220/failover_01.gif

Recomenda-se que você conecta o preliminar e os PIX Secundários com um switch dedicado. Não use cabos crossover. Neste diagrama, um Cisco Catalyst 3500 Switch conecta o preliminar e os PIX Secundários. Os links do failover de LAN e da comutação classificada estão em VLAN diferentes, VLAN10 e VLAN20, respectivamente. Os roteadores interno e externo são utilizados somente para testar a conectividade.

Configuração mínima inicial no PIX principal

Estes são os comandos mínimos que precisam de ser configurados no PIX principal:

Comandos básicos

pixfirewall(config)#hostname PIX                                

!--- Naming the PIX is optional.

PIX(config)#nameif ethernet2 fo security20                 

!--- Naming the interface is optional. It is recommended that you
!--- hardcode the speed/duplex.
 
PIX(config)#interface ethernet2 100full                            

!--- Bring up the interface.
 
PIX(config)#ip address fo 192.168.1.1 255.255.255.0  

!--- Assign an IP address.

Comandos de failover

PIX(config)#failover ip address fo 192.168.1.2

!--- IP address for the failover link.

PIX(config)#failover lan unit primary                

!--- This unit is primary
. 
PIX(config)#failover lan interface fo                 

!--- The 'fo' interface is used for LAN failover. 

PIX(config)#failover lan key cisco                     

!--- The Pre-shared key.

PIX(config)#failover lan enable                          

!--- Enables failover.

PIX(config)#failover                                 

!--- Start the failover process.

Esta mensagem aparece no console:

LAN-based Failover: trying to contact peer 
LAN-based Failover: Send hello msg and start failover monitoring 

Configuração mínima inicial no PIX secundário

Estes são os comandos mínimos que precisam de ser configurados no PIX secundário:

Comandos básicos

pixfirewall(config)#hostname PIX 
PIX(config)#nameif ethernet2 fo security20

!--- It is recommended that you hardcode the speed/duplex. 
 
PIX(config)#interface ethernet2 100full
PIX(config)#ip address fo 192.168.1.1 255.255.255.0 

Comandos de failover

PIX(config)#failover ip address fo 192.168.1.2 
PIX(config)#failover lan unit secondary                    

!--- This unit is secondary. 

PIX(config)#failover lan interface fo 
PIX(config)#failover lan key cisco 
PIX(config)#failover lan enable 
PIX(config)#failover

!--- This unit is secondary because the "active" keyword is not used.

Após ter emitido estes comandos no PIX secundário, estas mensagens aparecem no console:

LAN-based Failover: trying to contact peer?? 
LAN-based Failover: Send hello msg and start failover monitoring 

Então, no PIX principal, estas mensagens aparecem no console:

LAN-based Failover: Peer is UP
Sync Started
Sync Completed

Nota: Se você não vê estas mensagens, a seguir há algo erradamente. A fim pesquisar defeitos rapidamente a edição, gire sobre o traço ICMP debuga na unidade secundária usando o comando debug icmp trace e o sibilo da unidade primária ao endereço IP de Um ou Mais Servidores Cisco ICM NT do Failover.

Nota: No PIX Primário:

PIX(config)#ping 192.168.1.2 
        192.168.1.2 response received -- 0ms 
        192.168.1.2 response received -- 0ms 
        192.168.1.2 response received -- 0ms 
PIX(config)# 

On Secondary Unit 
PIX(config)#debug icmp trace    

!--- Configure this command before you initiate ping. 

ICMP trace on 
Warning: this may cause problems on busy networks 
PIX(config)# 1: ICMP echo request (len 32 id 9233 seq 0) 
   192.168.1.1 > 192.168.1.2 
2: ICMP echo reply (len 32 id 9233 seq 0) 192.168.1.2 > 192.168.1.1 
3: ICMP echo request (len 32 id 9233 seq 1) 192.168.1.1 > 192.168.1.2 
4: ICMP echo reply (len 32 id 9233 seq 1) 192.168.1.2 > 192.168.1.1 
5: ICMP echo request (len 32 id 9233 seq 2) 192.168.1.1 > 192.168.1.2 
6: ICMP echo reply (len 32 id 9233 seq 2) 192.168.1.2 > 192.168.1.1 

Nota: Quando terminar, desative essas depurações com o comando no debug icmp trace.

Se você não pode sibilar com sucesso, verifique o VLAN e as configurações de porta no interruptor intermediário. Igualmente certifique-se de que você usa cabos seguros do CAT 5.

Saída de PIX principal:

PIX(config)#show failover lan 

LAN-based Failover is Active 
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal 

PIX(config)#show failover 
Failover On 
Cable status: My side not connected   

!--- The failover serial cable is not used.
  
Reconnect timeout 0:00:00 
Poll frequency 15 seconds 
        This host: Primary - Active 
                Active time: 4335 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface intf3 (0.0.0.0): Link Down (Shutdown) 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 
        Other host: Secondary - Standby 
                Active time: 30 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface intf3 (0.0.0.0): Link Down (Shutdown) 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 

Stateful Failover Logical Update Statistics 
        Link : Unconfigured.

!--- Stateful failover is not configured yet. 

  

LAN-based Failover is Active 
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal

PIX secundário output:

PIX(config)#show failover lan 

LAN-based Failover is Active 
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal 
  

PIX(config)#show failover 
Failover On 
Cable status: My side not connected           

!--- A failover serial cable is not used. 

Reconnect timeout 0:00:00 
Poll frequency 15 seconds 
        This host: Secondary - Standby 
                Active time: 30 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface intf3 (0.0.0.0): Link Down (Shutdown) 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 
        Other host: Primary - Active 
                Active time: 4485 (sec) 
                Interface intf5 (127.0.0.1): Link Down (Shutdown) 
                Interface intf4 (127.0.0.1): Link Down (Shutdown) 
                Interface intf3 (127.0.0.1): Link Down (Shutdown) 
                Interface outside (127.0.0.1): Link Down (Shutdown) 
                Interface inside (127.0.0.1): Link Down (Shutdown) 

Stateful Failover Logical Update Statistics 
        Link : Unconfigured. 

!--- Stateful failover is not configured yet. 

  

LAN-based Failover is Active 
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal 

Configuração restante - Failover stateful

O trabalho básico no preliminar e em PIX Secundários está completo.

Neste exemplo, a relação E3 é usada para levar a informação de estado entre as duas unidades. Você pode usar a relação E2 (que é usada para o exame médico completo e a replicação de configuração) por esse motivo também, se seu PIX não é carregado pesadamente. É recomendável utilizar uma interface separada para este fim.

No PIX principal, configurar estes comandos:

ip address stateful-fo 172.16.1.1 255.255.255.0 
interface ethernet3 100full
failover ip address stateful-fo 172.16.1.2 
failover link stateful-fo 

No PIX secundário, configurar isto:

ip address stateful-fo 172.16.1.2 255.255.255.0
nameif ethernet3 stateful-fo security30
interface ethernet3 100full

Verifique o estado.

PIX(config)#show failover 
Failover On 
Cable status: My side not connected 
Reconnect timeout 0:00:00 
Poll frequency 15 seconds 
        This host: Primary - Active 
                Active time: 3945 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface stateful-fo (172.16.1.1): Normal 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 
        Other host: Secondary - Standby 
                Active time: 30 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface stateful-fo (172.16.1.2): Normal 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 

Estatísticas do Logical Update da comutação classificada

 
Link : stateful-fo

!--- Interface stateful-fo is used for stateful failover
. 
Stateful Obj    xmit       xerr       rcv        rerr 
General         40         0          40         0 
sys cmd         40         0          40         0 
up time         0          0          0          0 
xlate           0          0          0          0 
tcp conn        0          0          0          0 
udp conn        0          0          0          0 
ARP tbl         0          0          0          0 
RIP Tbl         0          0          0          0 

Logical Update Queue Information 
                        Cur     Max     Total 
Recv Q:         0       1       41 
Xmit Q:         0       1       41 

LAN-based Failover is Active 
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal 
  

PIX(config)#show failover lan detail 

LAN-based Failover is Active 
This PIX is Primary 
Command Interface is fo 
My Command Interface IP is 192.168.1.1 
Peer Command Interface IP is 192.168.1.2 
My interface status is Normal 
Peer interface status is Normal 
Peer interface down time is 0x0

!--- This is good. 


Total cmd msgs sent: 2579, rcvd: 2241, dropped: 2, retrans: 19, send_err: 0 
Total secure msgs sent: 2760, rcvd: 2383 
bad_signature: 0, bad_authen: 0, bad_hdr: 0, bad_osversion: 0, bad_length: 0 
Total failed retx lck cnt: 0 
Total/Cur/Max of 1245:0:1 msgs on retransQ, 1239 ack msgs 
Cur/Max of 0:21 msgs on txq 
Number of blk allocation failure: 0, cmd failure: 0, Flapping: 0 

Current cmd window: 1, Slow cmd Ifc cnt: 0 
Cmd Link down: 0, down and up: 0, Window Limit: 4301 
Number of fmsg allocation failure: 0 
Cmd Response Time History stat: 
< 100ms:         1237 
100 - 250ms:     0 
250 - 500ms:     0 
500 - 750ms:     0 
750 - 1000ms:    0 
1000 - 2000ms:   7 
2000 - 4000ms:   5 
> 4000ms:        9 
Cmd Response Retry History stat: 
Retry 0 = 1242, 1 = 5, 2 = 5, 3 = 3, 4 = 3 
Failover enable state is 0x1 
Failover state is 0x7d 
Failover peer state is 0x58 
Failover switching state is 0x0 
Failover config syncing is not in progress 
Failover poll cnt is 0 
Failover Fmsg cnt is 0 
Failover OS version is 6.2(0)243 
failover interface 0, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x807696d8 
    act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00d0.b71d.2b4d, stb_mac: 00d0.b780.574f 
failover interface 1, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769738 
    act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00d0.b71a.e6fb, stb_mac: 00e0.b600.8673 
failover interface 2, tst_mystat = 0x0, tst_peerstat = 0x2 
    zcnt = 0, hcnt = 0, my_rcnt = 2271, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769618 
    act_ip: 192.168.1.1, stn_ip:192.168.1.2 
    act_mac: 00e0.b600.a931, stb_mac: 00e0.b600.a931 
LAN-based Failover command link 
failover interface 3, tst_mystat = 0x0, tst_peerstat = 0x0 
    zcnt = 0, hcnt = 0, my_rcnt = 88, peer_rcnt = 54 
    myflag = 0x1, peer_flag=0x1, dchp = 0x80769558 
    act_ip: 172.16.1.1, stn_ip:172.16.1.2 
    act_mac: 00e0.b600.a930, stb_mac: 00e0.b600.8671 
failover interface 4, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769498 
act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00e0.b600.a92f, stb_mac: 00e0.b600.8670 
failover interface 5, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x807693d8 
    act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00e0.b600.a92e, stb_mac: 00d0.b780.564f 

Outras Configurações no PIX Primário

Esta é uma outra configuração para o PIX principal.

  1. Para outras interfaces, insira a velocidade/bidirecional no código. Você pode usar o “automóvel,” mas recomendou que você codifica a velocidade/duplex.

    interface ethernet0 100full 
    interface ethernet1 100full
    
  2. Atribua endereços IP a outras interfaces.

    ip address outside 1.1.1.1 255.255.255.0 
    ip address inside 10.10.10.1 255.255.255.0
    
  3. Adicione o comando failover ip address para todas as interfaces exceto as que estão encerradas:

    failover ip address outside 1.1.1.2
    failover ip address inside 10.10.10.2
    

Outras configurações no PIX secundário

Isto é como configurar o PIX secundário.

  1. Para outras interfaces, insira a velocidade/bidirecional no código. Você pode usar o “automóvel,” mas recomendou que você codifica a velocidade/duplex.

    interface ethernet0 100full 
    interface ethernet1 100full
    
  2. Atribua endereços IP a outras interfaces.

    ip address outside 1.1.1.2 255.255.255.0 
    ip address inside 10.10.10.1 255.255.255.0 
    

Isto output do PIX secundário depois que o Failover ocorre.

PIX(config)#show failover 
Failover On
Cable status: My side not connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
        This host: Secondary - Active 
                Active time: 315 (sec)
                Interface intf5 (127.0.0.1): Link Down (Shutdown)
                Interface intf4 (127.0.0.1): Link Down (Shutdown)
                Interface stateful-fo (172.16.1.2): Normal (Waiting)
                Interface outside (1.1.1.2): Normal (Waiting)
                Interface inside (10.10.10.2): Normal (Waiting)
        Other host: Primary - Standby 
                Active time: 8025 (sec)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface stateful-fo (172.16.1.2): Normal (Waiting)
                Interface outside (1.1.1.2): Normal (Waiting)
                Interface inside (10.1.1.2): Link Down (Waiting)

Stateful Failover Logical Update Statistics
        Link : stateful-fo
        Stateful Obj    xmit       xerr       rcv        rerr      
        General         146        0          0          0         
        sys cmd         146        0          0          0         
        up time         0          0          0          0         
        xlate           0          0          0          0         
        tcp conn        0          0          0          0         
        udp conn        0          0          0          0         
        ARP tbl         0          0          0          0         
        RIP Tbl         0          0          0          0         

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       1       146

LAN-based Failover is Active
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal

Outros comandos de failover que podem ser configurados no PIX:

failover mac address <ifc_name> <act_mac> <stn_mac>
failover poll <seconds>
failover replication http
outside-router#write  terminal

interface FastEthernet3/1 
 ip address 1.1.1.200 255.255.255.0 
 duplex auto 
 speed auto 
  
  
inside-router#write  terminal
interface FastEthernet2/1 
 ip address 10.10.10.200 255.255.255.0 
 duplex auto 
 speed auto 
! 
ip route 0.0.0.0 0.0.0.0 10.10.10.1 

Continue a configurar a unidade primária, e a configuração replicated à unidade secundária automaticamente.

Perguntas mais freqüentes

  1. Como o começo de inicialização é realizado entre duas unidades?

    O padrão para o Failover está (sem falha). Contudo, se o cabo de comutação é obstruído em uma unidade no tempo da bota, o Failover detecta automaticamente o cabo e gerencie o Failover sobre e ajusta o estado da unidade a preliminar ou a secundário. Isto é verdadeiro no tempo da bota mesmo se os endereços IP de Um ou Mais Servidores Cisco ICM NT do Failover não são configurados corretamente.

    Nota: Se o cabo é instalado a um corredor PIX, você deve emitir o failover command start failover. Para o software de PIX mais tarde do que a liberação 4.4.3, isto pode ser mudado. Isto é porque a replicação de configuração pode acidentalmente desabilitar o Failover com o comando clear config. Se o cabo de comutação não está atual no tempo da bota, a unidade transforma-se imediatamente a unidade ativa. Entretanto, a unidade aparecerá como "secundária".

    Estas discussões supõem que o Failover está permitido e que ambas as unidades têm o cabo de comutação obstruído dentro. Quando as primeiras botas de uma unidade, ele permitirem o Failover e os padrões ao apoio se a potência está detectada da outra unidade. A unidade envia o status de tempo de corrida (à espera) e pede um MAC address da outra unidade. Se nenhuma unidade tiver assumido o controle ativo no failover polltime, a unidade se tornará ativa.

    Nota: Para versões de software de PIX mais cedo de 5.2.1, o período de eleição de failover foram codificados duramente a 15 segundos.

    Geralmente, a outra unidade responde à solicitação ou envia mensagens de aviso de falha a cada apuração de failover. Uma vez que a comunicação de cabo failover é começada, ambas as unidades verificam o status ativo/em standby. A unidade principal alterna para ativa se a secundária estiver no estado de standby. Isso significa que se a unidade primária e a secundária completarem suas inicializações na primeira verificação mútua de chamada seletiva de failover, a unidade primária será ativada. Se o secundário é já ativo, a unidade primária permanece apoio (supõe que o secundário aprendeu o endereço MAC principal antes. A unidade primária não toma automaticamente o controle ativo. Com o failover habilitado, não inicialize a unidade secundária sem antes inicializar a unidade primária, pois o endereço MAC utilizado está na unidade primária. Se uma unidade está carreg acima sem o cabo de comutação, ou há uma comunicação da sem falha através do cabo de comutação, ambas as unidades podem transformar-se active e o tráfego de rede é interrompido.

    Com o Failover permitido, a replicação de configuração completa ocorrer da unidade ativa à unidade em standby quando as primeiras botas da unidade em standby acima. Desse ponto em diante, os comandos são passados de ativos para Em espera, conforme inseridos. A fim forçar uma replicação completa de configuração, use o comando write standby. A replicação da configuração ocorre apenas da unidade ativa para a standby. Os comandos inseridos na unidade em standby não são replicados para a unidade ativa. Uma mensagem de aviso é exibida quando você digita comandos na unidade de espera, dizendo que as configurações não estão mais sincronizadas.

  2. O que constitui uma falha?

    A detecção de defeito é baseada sobre:

    1. Status de NIC (Placa de Interface de Rede). Se o estado do link de um NIC está para baixo, a unidade falha. "Down" significa que o NIC não está conectado em uma porta de operação. Se uma NIC tiver sido configurada como "down", ela não falhará nesse teste.

    2. Comunicações de failover de rede. As duas unidades enviam “olá!” pacotes entre si sobre todas as interfaces de rede. Se nenhum “olá!” pacote é ouvido em 30 segundos, a interface ofensiva está posta no modo de teste a fim determinar quem é culpado.

    3. Failover de comunicações a cabo. As duas unidades enviam mensagens de "saudações" a cada uma por meio do cabo de failover. Se o apoio não se ouve do active dentro de 30 segundos, e o status de cabo é APROVAÇÃO, o apoio toma sobre como o active.

      Além disso, se o comando failover enviado pelo cabo failover não for reconhecido em 15 segundos, o comando em espera assume como ativo.

    4. Erros de cabo O cabo de failover é capeado e portanto, cada unidade pode ser diferenciada entre:

      • Uma falha de energia em outra unidade.

      • Um cabo desconectado dessa unidade.

      • Um cabo desconectado de outra unidade.

      Se o standby detectar que o ativo está desligado (ou recarregado/reinicializado), assumirá o controle ativo. Se o cabo de failover não estiver conectado, será gerado um syslog mas não ocorrerá nenhuma switching. Uma exceção para isso é na inicialização, em que apontar um cabo desconectado força a unidade a se tornar ativa. Se ambas as unidades estiverem ligadas em um cabo de failover instalado, elas ficarão ativas, criando um endereço IP duplicado com diferentes endereços MAC, causando conflitos na rede. O cabo de failover deve estar instalado para que o failover funcione corretamente.

  3. Quanto tempo toma para detectar uma falha com valores do intervalo de votação do padrão?

    • Os erros de comunicação de rede são detectados em 30 segundos.

    • Os erros das comunicações de failover são detectados com 30 segundos.

    • A falha de energia (e falha de cabo) é detectada em 15 segundos.

  4. Que acontece quando o Failover é provocado?

    Qualquer unidade pode iniciar um switchover. Quando um interruptor ocorrer, as unidades cada mudança seus estados assim como o endereço IP de Um ou Mais Servidores Cisco ICM NT e endereços que MAC se usam. Do ponto de vista da rede, o apoio substitui transparentemente previamente a unidade ativa. Porque a configuração está já completa no apoio, nenhuma atualização precisa de ser feita. Desde que as duas unidades não compartilham de estados de conexão dinâmica. Todas as conexões ativa serão deixadas cair quando um Failover ocorre. Os clientes devem restabelecer as conexões através da unidade recém-ativada (a menos que o failover stateful esteja em uso). Para cada switchover, a nova unidade ativa envia um syslog do motivo.

    Por exemplo:

    Switching to ACTIVE (cause: no power detected from other side).

    Outras razões:

    • "mestre normal"

    • "sem cabo de failover"

    • “nenhuma potência detectada do outro lado”

    • “incapaz de falar ao outro lado”

    • “interface de linha falhada no outro lado”

    • "não vê alteração na contagem do tráfego"

    • “o outro lado quer-me tomar sobre”

    • “falha relatada pelo outro lado”

    • “verificação de estado”

    • "set by the ioctl cmd"

  5. Qual a manutenção necessária?

    Use o comando show fail monitorar o estado das duas unidades. Syslogs são gerados quando ocorrem erros e comutações.

  6. Como desativar o failover?

    Remova o cabo de failover da unidade e configure-a com o comando no failover. O software de failover detecta a ausência do cabo e desativa automaticamente o failover.

  7. O que é o pacote de failover?

    PIX-5XX-FO-BUN, consistindo em um chassi, software e duas portas 10/100. Os clientes não precisam de comprar o software de harmonização para o PIX 515. Este pacote inclui o software PIX irrestrito. Esta unidade é usada restritamente para o Failover. Utilize o comando write memory na unidade de failover para salvar as informações. Se a configuração não for salva e a unidade em standby não for recarregada, a configuração copiada é perdida da unidade principal.

Informações a Serem Coletadas se Você Abrir uma Ocorrência de Suporte Técnico

Se você ainda precisa o auxílio após ter seguido os passos de Troubleshooting acima e o quer abrir um caso com Suporte técnico, seja certo incluir a informação seguinte para pesquisar defeitos seu PIX Firewall.
  • Descrição do problema e detalhes relevantes de topologia
  • Troubleshooting executado antes da abertura do caso
  • Saída do comando show tech-support (do preliminar e dos firewall secundários)
  • Saída do comando show log após a execução com o comando de depuração de registro colocado em buffer ou capturas do console que demonstram o problema (se disponível)
Anexe os dados coletados para o seu caso em um formato não compactado e texto simples (.txt). Você pode anexar informações para o seu caso, carregando-o com o uso da Case Query Tool (somente clientes registrados). Se você não pode alcançar a ferramenta do Case Query, você pode enviar a informação em um anexo de Email a attach@cisco.com com seu número de caso na linha de assunto de sua mensagem.


Informações Relacionadas


Document ID: 5220