Cisco Interfaces and Modules : Módulo de serviços de firewall Cisco Catalyst 6500 Series

Catalyst 6500 FWSM - Substituição da unidade de failover após uma falha do hardware

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como configurar e atualizar um módulo de serviços de firewall (FWSM) em substituição a um que falhou. Este documento também descreve como configurar o switch da série Catalyst 6500 para reduzir o tempo ocioso da máquina. Isto aplica-se a um FWSM como parte de um par de failover e a um FWSM que já tenha sido fisicamente trocado (consulte o guia de instalação de hardware para obter detalhes).

Pré-requisitos

Requisitos

Antes que você terminar os procedimentos neste documento:

  • Assegure-se de que as propriedades básicas de seu interruptor estejam configuradas.

    Nota: Este documento não descreve a configuração inicial do FWSM e do interruptor. Um pouco, supõe o FWSM e o interruptor trabalhados com sucesso antes de uma falha do hardware.

Componentes Utilizados

A informação neste documento é baseada no Módulo de serviços de firewall Cisco Catalyst série 6500.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Visão geral

Estas etapas instruem-no na configuração, na elevação, e na substituição do FWSM. As etapas são explicadas em um detalhe mais adicional nas seções remanescente deste documento.

  1. Defina um VLAN separado como um Firewall VLAN (remova as definições de VLAN velhas do Firewall) no interruptor com a substituição FWSM.

  2. Obstrua um PC no catalizador 6000 e atribua a porta de switch ao mesmo VLAN que você apenas definiu.

  3. A sessão ao FWSM e permite uma relação.

  4. Use o PC como um servidor TFTP para transferir o software. Assegure-se de que você use a mesma versão de código que o dispositivo ativo atual.

  5. Configurar ajustes básicos do Failover no FWSM e restaure o Firewall velho VLAN e a relação do Failover (remova a relação configurada para o TFTP). Neste tempo, a replicação de configuração ocorre e o FWSM transforma-se o backup.

Promova o código FWSM

A fim executar o Failover, os dois FWSM devem executar a mesma versão de código. No caso em que o RMA'd FWSM não vier com a mesma versão de código que o Firewall ativo, termine estas etapas a fim promover.

Transfira o software FWSM (clientes registrados somente) a seu servidor TFTP.

Permita um interruptor novo VLAN que não seja atualmente em uso

Conclua estes passos:

  1. Adicionar o VLAN ao interruptor.

    O VLAN não pode ser um VLAN reservado.

    • Use o comando vlan vlan_number adicionar o VLAN se você executa o software do ½ do ¿  de Cisco IOSï no interruptor.

    • Use o comando vlan vlan_number do grupo adicionar o VLAN se você executa o Catalyst Operating System Software no interruptor.

  2. Atribua o VLAN à porta de switch a que você planeia conectar o PC.

    • Incorpore estes comandos a fim atribuir um VLAN a uma porta, usando o Cisco IOS Software:

      router(config)#interface type slot/port
      
      router(config-if)#switchport
      
      router(config-if)#switchport mode access
      
      router(config-if)#switchport access vlan vlan_id
      
    • Incorpore este comando a fim atribuir um VLAN a uma porta, usando o Catalyst Operating System Software:

      set vlan vlan_number mod/ports
      
      
  3. Copie os comandos velhos do Firewall ao bloco de notas a fim suportá-los acima. Em seguida, remova-os e substitua- então substituindo o VLAN definido em etapas 1 e 2.

    • Para o Cisco IOS Software:

      Router(config)#firewall vlan-group firewall_group vlan_range
      
      
      Router(config)#firewall module module_number vlan-group firewall_group
      
      
    • Para o Catalyst Operating System Software:

      Console> (enable) set vlan vlan_list firewall-vlan mod_num
      
      
  4. Permita uma relação no FWSM e no endereço IP de Um ou Mais Servidores Cisco ICM NT:

    nameif interface interface_name security_lvl
    
    
    ip address interface_name ip_address [mask]
    
    
    interface interface_name
    
    
    fwsm(config-interface) no shutdown
    
  5. Teste a Conectividade entre o FWSM e o PC, usando o sibilo. Use theis comandam para transferir a imagem do servidor TFTP quando a Conectividade é confirmada. Recarregue o FWSM quando a transferência está completa.

    FWSM#copy tftp://server[/path]/filename flash:
    

    Por exemplo, incorpore este comando:

    FWSM#copy tftp://209.165.200.226/cisco/c6svc-fwm-k9.2-1-1.bin flash:
    

Defina o Firewall VLAN no interruptor

Substitua os comandos que você removeu em etapa 1 da elevação o procedimento de código FWSM.

  • Para o Cisco IOS Software:

    Router(config)#firewall vlan-group firewall_group vlan_range
    
    
    Router(config)#firewall module module_number vlan-group firewall_group
    
    
  • Para o Catalyst Operating System Software:

    Console> (enable)set vlan vlan_list firewall-vlan mod_num
    
    

FWSM básico para a configuração de failover

Setup alguns ajustes básicos FWSM para prepará-la para a reintrodução nos pares. Reconfigure então os grupos do Firewall do interruptor/Firewall VLAN para inclui-la de novo no par de failover.

  1. Remova o nameif e o endereço IP de Um ou Mais Servidores Cisco ICM NT velhos definidos em etapa 4 da possibilidade um interruptor novo VLAN que não seja procedimento atualmente em uso.

  2. Defina o dispositivo como o preliminar ou secundário.

    FWSM(config)#fail lan unit {primary|secondary}
    
  3. Incorpore este comando ao espaço da execução do sistema configurar a interface de VLAN do Failover para o modo de contexto múltiplo:

    primary(config)#failover lan interface interface_name vlan vlan
    
  4. Incorpore este comando ajustar o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação do Failover:

    primary(config)#failover interface ip failover_interface ip_address mask standby 
    ip_address
    
  5. Permita o Failover:

    FWSM(config)#failover
    

    Esta saída mostra um exemplo:

    FWSM(config)#failover lan unit secondary
    FWSM(config)#failover interface ip fover 10.1.1.10 255.255.255.0 standby 10.1.1.11
    FWSM(config)#failover LAN Interface fover vlan 50
    FWSM(config)#failover
    

    Esta saída aparece:

    Detected an Active mate.  Switching to Standby
           
    Beginning configuration replication from mate.
    This unit is in syncing state. 
    End configuration replication from mate.

Confirme a instalação e a configuração

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Emita este comando show:

fwsm(config)#show failover
Failover On
Failover unit Primary
Failover LAN Interface fover Vlan 150
Unit Poll frequency 15 seconds
Interface Poll frequency 15 seconds
Interface Policy 50%
Monitored Interfaces 249 of 250 maximum
Config sync: active
Last Failover at: 10:58:08 Apr 15 2004
        This host: Primary - Standby 
                Active time: 0(sec)
                admin Interface inside (10.6.8.91): Normal 
                admin Interface outside (70.1.1.2): Normal 
        Other host: Secondary - Active 
                Active time: 2232 (sec)
                admin Interface inside (10.6.8.100): Normal 
                admin Interface outside (70.1.1.3): Normal 

Verifique para ver que este host está no apoio. Igualmente verifique para ver se você pode sibilar dispositivos fora de suas relações do FWSM. Se você quer o dispositivo novo se tornar ativo, não use nenhum comando failover ativo forçar o Failover.

Incorpore este comando no módulo ativo ao Failover ao módulo em standby:

primary(config)#no failover active

Incorpore este comando no módulo em standby forçá-lo para tornar-se ativo:

secondary(config)#failover active

Refira a utilização do Failover para mais detalhes em opções de configuração de failover e a pesquisa de defeitos.


Informações Relacionadas


Document ID: 65604