Segurança : Dispositivos de segurança Cisco PIX série 500

PIX/ASA 7.x Exemplo de Configuração de Failover Ativo/Standby

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (4 Novembro 2009) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Failover Ativo
      Visão Geral do Failover Ativo/Standby
      Status Primário/Secundário e Status Ativo/Standby
      Inicialização dos Dispositivos e Sincronização da Configuração
      Replicação de Comandos
      Acionadores de Failover
      Ações de Failover
Failover Regular e Stateful
      Failover Regular
      Failover Stateful
Configuração de Failover Ativo/Standby Baseado em Cabo
      Diagrama de Rede
      Configurações
Configuração de Failover Ativo/Standby Baseado em LAN
      Diagrama de Rede
      Configuração da Unidade Primária
      Configuração da Unidade Secundária
      Configurações
Verificação da Configuração de Failover Baseado em Cabo
      Uso do Comando show failover
      Exibição das Interfaces Monitoradas
      Exibição dos Comandos de Failover na Configuração em Execução
      Testes de Funcionalidade do Failover
      Failover Forçado
      Failover Deasabilitado
      Restauração de uma Unidade com Falha
Troubleshooting
      Monitoração do Failover
      Falha da Unidade
      Mensagens de Sistema do Failover
      Mensagens de Depuração
      SNMP
      Tempo de Poll do Failover
      Configuração da Exportação do Certificado/Chave Privada no Failover
      Failover de Módulos ASA
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

A configuração de failover necessita de dois Security Appliances idênticos conectados um ao outro através de um link de failover dedicado e, opcionalmente, de um link de failover stateful. A integridade das interfaces e unidades ativas é monitorada para determinar se as condições de failover específicas são atendidas. Se as condições são atendidas, o failover é acionado.

O Security Appliance oferece suporte a duas configurações de failover, Failover Ativo/Ativo e Failover Ativo/Standby. Cada configuração possui seu próprio método de determinar e executar o failover. Com o Failover Ativo/Ativo, ambas as unidades podem transmitir tráfego de rede. Isso permite configurar o balanceamento de carga na sua rede. O Failover Ativo/Ativo está disponível somente em unidades em execução no modo de contexto múltiplo. Com o Failover Ativo/Standby, somente uma unidade transmite tráfego, enquanto que a outra aguarda em um estado de standby. O Failover Ativo/Standby está disponível em unidades em execução nos modos de contexto simples ou múltiplo. Ambas as configurações oferecem suporte ao failover stateful ou stateless (regular).

Este documento descreve como configurar o Failover Ativo/Standby no PIX Security Appliance.

Nota: Não há suporte ao failover de VPN em unidades no modo de contexto múltiplo. O failover de VPN está disponível somente nas configurações de Failover Ativo/Standby.

A Cisco recomenda que você não use a interface de gerenciamento para o failover, especialmente o failover stateful no qual o Security Appliance envia constantemente informações de conexão de um Security Appliance para o outro. A interface do failover deverá ser pelo menos da mesma capacidade que as interfaces que transmitem tráfego normal e, enquanto as interfaces no ASA 5540 são gigabit, a interface de gerenciamento é somente FastEthernet. A interface de gerenciamento foi desenvolvida somente para tráfego de gerenciamento e é especificada como management0/0. No entanto, você pode usar o comando management-only para configurar uma interface como uma interface somente de gerenciamento. Além disso, para Management 0/0, é possível desabilitar o modo somente de gerenciamento para que a interface possa transmitir tráfego da mesma forma que qualquer outra. Para obter mais informações sobre o comando management-only, consulte a Referência de Comandos do Cisco Security Appliance, Versão 8.0.

Este guia de configuração apresenta um exemplo de configuração que inclui uma rápida introdução à tecnologia de failover Ativo/Standby do PIX/ASA 7.x. Consulte a Referência de Comandos do ASA/PIX para obter mais detalhes sobre a teoria por trás desta tecnologia.

Pré-requisitos

Requisitos

Requisito de Hardware

As duas unidades em uma configuração de failover devem ter a mesma configuração de hardware. Elas devem ser do mesmo modelo, possuir o mesmo número e os mesmos tipos de interface e também a mesma quantidade de RAM.

Nota: O tamanho da memória Flash das duas unidades não precisa ser o mesmo. Se você usar unidades com tamanhos de memória Flash diferentes em sua configuração de failover, certifique-se de que a unidade com a menor memória Flash possua espaço suficiente para acomodar os arquivos de imagem de software e os arquivos de configuração. Caso contrário, a sincronização da configuração da unidade com memória Flash maior para a unidade com memória Flash menor falhará.

Requisito de Software

As duas unidades em uma configuração de failover devem estar nos modos operacionais (roteado ou transparente, contexto simples ou múltiplo). Elas devem possuir as mesmas versões de software principal (primeiro número) e secundária (segundo número), mas é possível usar diferentes versões do software em um processo de upgrade. Por exemplo, você pode fazer o upgrade uma unidade da versão 7.0(1) para a versão 7.0(2) e manter o failover ativo. Recomendamos fazer o upgrade de ambas as unidades para a mesma versão para garantir compatibilidade em tempo real.

Requisitos de Licença

Na plataforma PIX Security Appliance, ao menos uma das unidades deve possuir uma licença irrestrita (UR).

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • PIX Security Appliance com versão 7.x ou superior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser utilizada com estas versões de hardware e software:

  • ASA Security Appliance com versão 7.x ou superior

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Failover Ativo/Standby

Esta seção descreve o Failover Ativo/Standby e contém os seguintes tópicos:

Visão Geral do Failover Ativo/Standby

O failover ativo/standby possibilita o uso de um Security Appliance de standby para assumir a funcionalidade de uma unidade com falha. Quando a unidade ativa falha, ela entra no estado de standby, enquanto que a unidade de standby passa para o estado ativo. A unidade que se torna ativa assume os endereços IP (ou, para um firewall transparente, o endereço IP de gerenciamento) e MAC da unidade que falhou e começa a transmitir tráfego. A unidade que está agora no estado de standby assume os endereços IP e MAC de standby. Como os dispositivos de rede não percebem a mudança no pareamento de endereços IP e MAC, nenhuma entrada de ARP é alterada ou sofre timeout na rede.

Nota: No modo de contexto múltiplo, o Security Appliance pode executar o failover da unidade inteira (o que inclui todos os contextos), mas não de contextos individuais separadamente.

Status Primário/Secundário e Status Ativo/Standby

As diferenças principais entre as duas unidades de um par de failover estão relacionadas a qual unidade é a ativa e qual é a de standby, notadamente, quais endereços IP serão usados e qual unidade é a primária e transmite ativamente o tráfego.

Há algumas diferenças entre as unidades com base em qual é a primária (conforme especificado na configuração) e qual é a secundária:

  • A unidade primária sempre se torna a unidade ativa quando ambas são iniciadas ao mesmo tempo (e possuem a mesma integridade operacional).

  • O endereço MAC da unidade primária é sempre acoplado aos endereços IP ativos. A exceção a essa regra ocorre quando a unidade secundária está ativa e não pode obter o endereço MAC primário pelo link de failover. Nesse caso, o endereço MAC secundário é usado.

Inicialização dos Dispositivos e Sincronização da Configuração

A sincronização da configuração ocorre quando um ou ambos os dispositivos em um par de failover inicializam. As configurações são sempre sincronizadas da unidade ativa para a unidade de standby. Quando a unidade de standby conclui a inicialização, ela limpa sua configuração em execução (exceto pelos comandos de failover necessários para a comunicação com a unidade ativa) e a unidade ativa envia sua configuração inteira para a unidade de standby.

A unidade ativa é determinada por:

  • Se uma unidade inicializar e detectar um peer já em operação como ativo, ela se tornará a unidade de standby.

  • Se uma unidade inicializar e não detectar um peer, ela se tornará a unidade ativa.

  • Se ambas as unidades inicializarem ao mesmo tempo, a unidade primária se tornará a ativa e a unidade secundária se tornará a de standby.

Nota: Se a unidade secundária inicializar e não detectar a primária, ela se tornará a unidade ativa. Ela usará seus próprios endereços MAC para os endereços IP ativos. Quando a unidade primária se tornar disponível, a unidade secundária mudará os endereços MAC para aqueles da unidade primária, o que poderá causar a interrupção do tráfego da rede. Para evitar esse problema, configure o par de failover com endereços MAC virtuais. Consulte a seção Configuração do Failover Ativo/Standby deste documento para obter mais informações.

Quando a replicação for iniciada, o console do Security Appliance na unidade ativa exibirá a mensagem "Beginning configuration replication: Sending to mate". Quando ela for concluída, o Security Appliance exibirá a mensagem "End Configuration Replication to mate". Durante a replicação, os comandos inseridos na unidade ativa podem não ser replicados corretamente para a unidade de standby, enquanto que os comandos inseridos na unidade de standby podem ser sobrescritos pela configuração enviada pela unidade ativa. Não execute comandos em nenhuma das unidades do par de failover durante o processo de replicação de configuração. Dependendo do tamanho da configuração, a replicação pode levar de alguns segundos a vários minutos.

Na unidade secundária, é possível observar a mensagem de replicação (à medida que a a sincronização é feita) da unidade primária:

pix> .

        Detected an Active mate
Beginning configuration replication from mate.
End configuration replication from mate.

pix>

Na unidade de standby, a configuração existe somente na memória de execução. Para salvar a configuração na memória Flash após a sincronização, execute estes comandos:

  • No modo de contexto simples, execute o comando copy running-config startup-config na unidade ativa. O comando é replicado para a unidade de standby, a qual escreve sua configuração na memória Flash.

  • No modo de contexto múltiplo, execute o comando copy running-config startup-config na unidade ativa do espaço de execução do sistema e de cada contexto no disco. O comando é replicado para a unidade de standby, a qual escreve sua configuração na memória Flash. Os contextos com configurações de inicialização em servidores externos são acessíveis de cada unidade da rede e não precisam ser salvos separadamente para cada unidade. Você também pode copiar os contextos em disco da unidade ativa para um servidor externo, e então copiá-los para o disco da unidade de standby, onde eles se tornarão disponíveis quando a unidade recarregar.

Replicação de Comandos

A replicação de comandos sempre ocorre da unidade ativa para a de standby. À medida que os comandos são inseridos na unidade ativa, eles são enviados pelo link de failover para a unidade de standby. Não é necessário salvar a configuração ativa na memória Flash para replicar os comandos.

Nota: As alterações feitas na unidade de standby não são replicadas para a unidade ativa. Se você executar um comando na unidade de standby, o Security Appliance exibirá a mensagem **** WARNING **** Configuration Replication is NOT performed from Standby unit to Active unit. As configurações não são mais sincronizadas. Essa mensagem será exibida mesmo que você insira comandos que não afetam a configuração.

Se você inserir o comando write standby na unidade ativa, a unidade de standby limpará sua configuração em execução (exceto pelos comandos de failover necessários para a comunicação com a unidade ativa) e a unidade ativa enviará sua configuração inteira para a unidade de standby.

No modo de contexto múltiplo, quando o comando write standby é inserido no espaço de execução do sistema, todos os contextos são replicados. Se você executar o comando write standby em um contexto, o comando replicará somente a configuração do contexto.

Os comandos replicados são armazenados na configuração em execução. Para salvar os comandos replicados na memória Flash da unidade de standby, execute estes comandos:

  • No modo de contexto simples, execute o comando copy running-config startup-config na unidade ativa. O comando é replicado para a unidade de standby, a qual escreve sua configuração na memória Flash.

  • No modo de contexto múltiplo, execute o comando copy running-config startup-config na unidade ativa do espaço de execução do sistema e em cada contexto no disco. O comando é replicado para a unidade de standby, a qual escreve sua configuração na memória Flash. Os contextos com configurações de inicialização em servidores externos são acessíveis de cada unidade da rede e não precisam ser salvos separadamente para cada unidade. Você também pode copiar os contextos em disco da unidade ativa para um servidor externo, e então copiá-los para o disco da unidade de standby.

Acionadores de Failover

A unidade poderá falhar se:

  • A unidade sofrer uma falha de hardware ou de alimentação de energia.

  • A unidade sofrer uma falha de software.

  • Um número excessivo de interfaces monitoradas falharem.

  • O comando no failover active for executado na unidade ativa ou o comando failover active for executado na unidade de standby.

Ações de Failover

O failover Ativo/Standby ocorre por unidade. Mesmo em sistemas executados no modo de contexto múltiplo, não é possível executar o failover de contextos individuais ou de grupos de contextos.

Esta tabela mostra a ação de failover para cada evento de falha. Para cada evento de falha, a tabela mostra a política de failover (failover ou nenhum failover), a ação executada pela unidade ativa, a ação executada pela unidade de standby e qualquer nota especial sobre a condição e as ações de failover. A tabela mostra o comportamento do failover.

Evento de falha

Política

Ação - Ativa

Ação - Standby

Notas

Falha na unidade ativa (alimentação ou hardware)

Failover

n/d

Tornar ativa. Marcar ativa como falha.

Nenhuma mensagem de hello é recebida em nenhuma interface monitorada ou no link de failover.

A unidade anteriormente ativa se recupera.

Nenhum failover

Tornar standby.

Nenhuma ação

Nenhuma

Falha na unidade de standby (alimentação ou hardware)

Nenhum failover

Marcar standby como falha.

n/d

Quando a unidade de standby é marcada como falha, a unidade ativa não tenta executar o failover, mesmo quando o limite de falha da interface é ultrapassado.

Falha do link de failover durante a operação

Nenhum failover

Marcar interface de failover como falha.

Marcar interface de failover como falha.

Você deve restaurar o link de failover o mais rápido possível porque a unidade não pode executar o failover para a unidade de standby quando o link está inoperante.

Falha do link de failover na inicialização

Nenhum failover

Marcar interface de failover como falha.

Tornar ativa.

Se o link de failover estiver inativo na inicialização, ambas as unidades se tornarão ativas.

Falha do link de failover stateful

Nenhum failover

Nenhuma ação

Nenhuma ação

As informações de estado se tornam desatualizadas e as sessões são terminadas quando um failover ocorre.

Falha de interface na unidade ativa acima do limite

Failover

Marcar ativa como falha.

Tornar ativa.

Nenhuma

Falha de interface na unidade de standby acima do limite

Nenhum failover

Nenhuma ação

Marcar standby como falha.

Quando a unidade de standby é marcada como falha, a unidade ativa não tenta executar o failover, mesmo quando o limite de falha da interface é ultrapassado.

Failover Regular e Stateful

O Security Appliance oferece suporte a dois tipos de failover: regular e stateful. Esta seção inclui estes tópicos:

Failover Regular

Quando um failover ocorre, todas as conexões ativas são interrompidas. Os clientes precisam restabelecer as conexões quando a nova unidade ativa assume.

Failover Stateful

Quando o failover stateful está habilitado, a unidade ativa transmite continuamente informações de estado das conexões para a unidade de standby. Quando um failover ocorre, as mesmas informações de conexão estão disponíveis na nova unidade ativa. Os aplicativos de usuário final com suporte não precisam se reconectar para manter a mesma sessão de comunicação.

As informações de estado passadas para a unidade de standby incluem:

  • A tabela de conversão de NAT

  • Os estados das conexões de TCP

  • Os estados das conexões de UDP

  • A tabela ARP

  • A tabela da bridge da camada 2 (quando executada no modo de firewall transparente)

  • Os estados das conexões de HTTP (se a replicação de HTTP estiver habilitada)

  • A tabela ISAKMP e IPSec SA

  • O banco de dados de conexão PDP do GTP

As informações que não são passadas para a unidade de standby quando o failover stateful é habilitado incluem:

  • A tabela das conexões de HTTP (a menos que a replicação de HTTP esteja habilitada)

  • A tabela de autenticação de usuários (uauth)

  • As tabelas de roteamento

  • As informações de estado para os módulos de serviços de segurança

Nota:  Se o failover ocorrer em uma sessão ativa do Cisco IP SoftPhone, a chamada permanecerá ativa porque as informações de estado da sessão da chamada são replicadas para a unidade de standby. Quando a chamada é terminada, o cliente IP SoftPhone perde a conexão com o Call Manager. Isso ocorre porque não há informações de sessão para a mensagem de desligar CTIQBE na unidade de standby. Quando o cliente IP SoftPhone não recebe uma resposta do Call Manager em um determinado período de tempo, ele considera o Call Manager impossível de ser alcançado e cancela seu próprio registro.

Configuração de Failover Ativo/Standby Baseado em Cabo

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

pixfailover_01.gif

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Siga estes passos para configurar o failover Ativo/Standby usando um cabo serial como o link de failover. Os comandos nesta tarefa são inseridos na unidade primária do par de failover. A unidade primária é a unidade que possui a extremidade do cabo rotulada "Primary" conectada a ela. Para dispositivos no modo de contexto múltiplo, os comandos são inseridos no espaço de execução do sistema, a menos que especificado de outra forma.

Não é necessário fazer o bootstrap da unidade secundária no par de failover quando failover baseado em cabo é usado. Mantenha a unidade secundária desligada até ser instruído a ligá-la.

O failover baseado em cabo está disponível somente na plataforma PIX Security Appliance.

Para configurar o failover Ativo/Standby baseado em cabo, execute estes passos:

  1. Conecte o cabo de failover aos PIX Security Appliances. Certifique-se de conectar a extremidade do cabo marcada como "Primary" à unidade usada como primária e a extremidade marcada como "Secondary" à outra unidade.

  2. Ligue a unidade primária.

  3. Caso ainda não tenha feito, configure os endereços IP ativo e de standby para cada interface de dados (modo roteado) ou para a interface de gerenciamento (modo transparente). O endereço IP de standby é usado no Security Appliance que é a unidade de standby atual. Ele deve pertencer à mesma sub-rede que o endereço IP ativo.

    Nota: Não configure um endereço IP para o link de failover stateful se usar uma interface de failover stateful dedicada. Use o comando failover interface ip para configurar uma interface de failover stateful dedicada em um passo posterior.

    hostname(config-if)#ip address <active_addr> <netmask>
                              standby <standby_addr>
    
    

    No exemplo, a interface externa do PIX primário é configurada desta forma:

    hostname(config-if)#ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
    

    Aqui, 172.16.1.1 é usado como o endereço IP da interface externa da unidade primária e 172.16.1.2 é atribuído à interface externa da unidade secundária (standby).

    Nota: No modo de contexto múltiplo, você deve configurar o endereço da interface dentro de cada contexto. Use o comando changeto context para alternar entre os contextos. O prompt de comandos é alterado para hostname/context(config-if)#, onde context é o nome do contexto atual.

  4. Para habilitar o failover stateful, configure o link de failover stateful.

    1. Especifique a interface que será usada como link de failover stateful:

       hostname(config)#failover link if_name phy_if
      
      

      Neste exemplo, a interface Ethernet2 é usada para trocar informações de estado do failover stateful.

      hostname(config)#failover link state Ethernet2
      

      O argumento if_name atribui um nome lógico à interface especificada pelo argumento phy_if . O argumento phy_if pode ser o nome da porta física, como Ethernet1, ou uma subinterface criada anteriormente, como Ethernet0/2.3. Essa interface não deve ser usada para nenhum outro fim.

    2. Atribua um endereço IP ativo e de standby ao link de failover stateful:

      hostname(config)#failover interface ip <if_name> <ip_addr> <mask>
                             standby <ip_addr>
      
      

      Neste exemplo, 10.0.0.1 é usado como endereço IP ativo e 10.0.0.2 é usado como endereço IP de standby para o link de failover stateful.

      hostname(config)#failover interface ip state 10.0.0.1 255.0.0.0
                             standby 10.0.0.2
      

      Nota: Se o link de failover stateful usar uma interface de dados, pule este passo. Você já definiu os endereços IP ativo e de standby para a interface.

      O endereço IP de standby deverá estar na mesma sub-rede que o endereço IP ativo. Não é necessário identificar a máscara de sub-rede do endereço IP de standby.

      O endereço IP e o endereço MAC do link de failover stateful não serão alterados no failover a menos que usem uma interface de dados. O endereço IP ativo permanece sempre com a unidade primária, enquanto que o endereço IP de standby permanece com a unidade secundária.

    3. Habilite a interface:

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      
  5. Habilite o failover:

    hostname(config)#failover
    
  6. Ligue a unidade secundária e habilite o failover na unidade caso ele ainda não tenha sido habilitado:

    hostname(config)#failover
    

    A unidade ativa envia a configuração na memória de execução para a unidade de standby. À medida que a configuração é sincronizada, as mensagens "Beginning configuration replication: Sending to mate" e "End Configuration Replication to mate" são mostradas no console principal.

    Nota: Execute o comando failover no dispositivo primário primeiro. Em seguida, execute-o no dispositivo secundário. Após você executar o comando failover no dispositivo secundário, ele começará imediatamente a obter a configuração do dispositivo primário e definirá a si mesmo como standby. O ASA primário permanece em operação, transmite tráfego normalmente e marca a si mesmo como o dispositivo ativo. Desse ponto em diante, sempre que houver uma falha no dispositivo ativo, o dispositivo de standby se tornará o ativo.

  7. Salve a configuração na memória Flash da unidade primária. Como os comandos inseridos na unidade primária são replicados para a secundária, a unidade secundária também salva sua configuração na memória Flash.

    hostname(config)#copy running-config startup-config
    

    Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Configurações

Este documento utiliza as seguintes configurações:

PIX

pix#show running-config
 PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!

!--- Configure "no shutdown" na interface do failover stateful
!--- do PIX primário e do secundário.


interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list 101 extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
failover
failover link state Ethernet2
failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2
asdm image flash:/asdm-521.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list 101
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
!

!--- Saída suprimida

!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Configuração de Failover Ativo/Standby Baseado em LAN

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

pixfailover_02.gif

Esta seção descreve como configurar o failover Ativo/Standby usando um link de failover Ethernet. Ao configurar o failover baseado em LAN, você deve fazer o bootstrap do dispositivo secundário para reconhecer o link de failover para que o dispositivo secundário possa obter a configuração em execução do dispositivo primário.

Nota: Se você migrar de um failover baseado em cabo para um failover baseado em LAN, será possível pular vários passos, como a atribuição dos endereços IP ativos e de standby para cada interface, que foram concluídos na configuração do failover baseado em cabo.

Configuração da Unidade Primária

Siga estes passos para configurar a unidade primária em uma implementação de failover Ativo/Standby baseado em LAN. Esses passos fornecem a configuração mínima necessária para habilitar o failover na unidade primária. No modo de contexto múltiplo, todos os passos são feitos no espaço de execução do sistema, a menos que especificado de outra forma.

Para configurar a unidade primária no par de failover Ativo/Standby, execute estes passos:

  1. Caso ainda não tenha feito, configure os endereços IP ativo e de standby para cada interface (modo roteado) ou para a interface de gerenciamento (modo transparente). O endereço IP de standby é usado no Security Appliance que é a unidade de standby atual. Ele deve pertencer à mesma sub-rede que o endereço IP ativo.

    Nota: Não configure um endereço IP para o link de failover stateful se usar uma interface de failover stateful dedicada. Use o comando failover interface ip para configurar uma interface de failover stateful dedicada em um passo posterior.

    hostname(config-if)#ip address active_addr netmask
                             standby standby_addr
    

    Neste exemplo, a interface externa do PIX primário é configurada desta forma:

    hostname(config-if)#ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
    

    Aqui, 172.16.1.1 é usado como o endereço IP da interface externa da unidade primária e 172.16.1.2 é atribuído à interface externa da unidade secundária (standby).

    Nota: No modo de contexto múltiplo, você deve configurar o endereço da interface dentro de cada contexto. Use o comando changeto context para alternar entre os contextos. O prompt de comandos é alterado para hostname/context(config-if)#, onde context é o nome do contexto atual.

  2. (Somente plataforma PIX Security Appliance) Habilite o failover baseado em LAN.

    hostname(config)#failover lan enable
    
  3. Defina a unidade como a unidade primária.

    hostname(config)#failover lan unit primary
    
  4. Defina a interface de failover.

    1. Especifique a interface que será usada como interface de failover.

      hostname(config)#failover lan interface if_name phy_if
      
      

      Nesta documentação, "failover" (nome de interface de Ethernet3) é usado como uma interface de failover.

      hostname(config)#failover lan interface failover Ethernet3
      
      

      O argumento if_name atribui um nome à interface especificada pelo argumento phy_if . O argumento phy_if pode ser o nome da porta física, como Ethernet1, ou uma subinterface criada anteriormente, como Ethernet0/2.3.

    2. Atribua o endereço IP ativo e de standby ao link de failover.

      hostname(config)#failover interface ip if_name ip_addr mask
                             standby ip_addr
      
      

      Nesta documentação, para configurar o link de failover, 10.1.0.1 é usado para a unidade ativa, 10.1.0.2 é usado para a unidade de standby e "failover" é um nome de interface de Ethernet3.

      hostname(config)#failover interface ip failover 10.1.0.1
                             255.255.255.0 standby 10.1.0.2
      

      O endereço IP de standby deverá estar na mesma sub-rede que o endereço IP ativo. Não é necessário identificar a máscara de sub-rede do endereço de standby.

      O endereço IP e o endereço MAC do link de failover não são alterados no failover. O endereço IP ativo do link de failover permanece sempre com a unidade primária, enquanto que o endereço IP de standby permanece com a unidade secundária.

    3. Habilite a interface.

      hostname(config)#interface phy_if
      
      
      hostname(config-if)#no shutdown
      

      Neste exemplo, Ethernet3 é usada para o failover:

      hostname(config)#interface ethernet3
      
      hostname(config-if)#no shutdown
      
  5. (Opcional) Para habilitar o failover stateful, configure o link de failover stateful.

    1. Especifique a interface que será usada como link de failover stateful.

      hostname(config)#failover link if_name phy_if
      
      
      

      Este exemplo usa "state" como nome de interface para Ethernet2 para trocar as informações de estado do link de failover:

      hostname(config)#failover link state Ethernet2
      

      Nota: Se o link de failover stateful usar o link de failover ou uma interface de dados, você só precisará fornecer o argumento if_name.

      O argumento if_name atribui um nome lógico à interface especificada pelo argumento phy_if . O argumento phy_if pode ser o nome da porta física, como Ethernet1, ou uma subinterface criada anteriormente, como Ethernet0/2.3. Essa interface não deve ser usada para nenhum outro fim (exceto, opcionalmente, para o link de failover).

    2. Atribua um endereço IP ativo e de standby ao link de failover stateful:

      Nota: Se o link de failover stateful usar o link de failover ou uma interface de dados, pule este passo. Você já definiu os endereços IP ativo e de standby para a interface.

      hostname(config)#failover interface ip if_name ip_addr
                             mask standby ip_addr
      
      

      Neste exemplo, 10.0.0.1 é usado como endereço IP ativo e 10.0.0.2 é usado como endereço IP de standby para o link de failover stateful.

      hostname(config)#failover interface ip state 10.0.0.1 255.0.0.0
                             standby 10.0.0.2
      

      O endereço IP de standby deverá estar na mesma sub-rede que o endereço IP ativo. Não é necessário identificar a máscara de sub-rede do endereço de standby.

      O endereço IP e o endereço MAC do link de failover stateful não serão alterados no failover a menos que usem uma interface de dados. O endereço IP ativo permanece sempre com a unidade primária, enquanto que o endereço IP de standby permanece com a unidade secundária.

    3. Habilite a interface.

      Nota: Se o link de failover stateful usar o link de failover ou uma interface de dados, pule este passo. Você já habilitou a interface.

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      

      Nota: Por exemplo, neste cenário, Ethernet2 é usada para o link de failover stateful:

      hostname(config)#interface ethernet2
      
      hostname(config-if)#no shutdown
      
  6. Habilite o failover:

    hostname(config)#failover
    

    Nota: Execute o comando failover no dispositivo primário primeiro. Em seguida, execute-o no dispositivo secundário. Após você executar o comando failover no dispositivo secundário, ele começará imediatamente a obter a configuração do dispositivo primário e definirá a si mesmo como standby. O ASA primário permanece em operação, transmite tráfego normalmente e marca a si mesmo como o dispositivo ativo. Desse ponto em diante, sempre que houver uma falha no dispositivo ativo, o dispositivo de standby se tornará o ativo.

  7. Salve a configuração do sistema na memória Flash.

    hostname(config)#copy running-config startup-config
    

Configuração da Unidade Secundária

A única configuração necessária na unidade secundária é a da interface de failover. A unidade secundária requer que estes comandos se comuniquem inicialmente com a unidade primária. Após a unidade primária enviar sua configuração para a unidade secundária, a única diferença permanente entre as duas configurações será o comando failover lan unit, o qual identifica cada unidade como primária ou secundária.

No modo de contexto múltiplo, todos os passos são feitos no espaço de execução do sistema, a menos que especificado de outra forma.

Para configurar a unidade secundária, conclua os seguintes passos:

  1. (Somente plataforma PIX Security Appliance) Habilite o failover baseado em LAN.

    hostname(config)#failover lan enable
    
  2. Defina a interface de failover. Use as mesmas configurações aplicadas à unidade primária.

    1. Especifique a interface que será usada como interface de failover.

      hostname(config)#failover lan interface if_name phy_if
      
      

      Nesta documentação, "failover" (nome de interface de Ethernet3) é usado como uma interface de failover de LAN.

      hostname(config)#failover lan interface failover Ethernet3
      
      

      O argumento if_name atribui um nome à interface especificada pelo argumento phy_if .

    2. Atribua o endereço IP ativo e de standby ao link de failover.

      hostname(config)#failover interface ip if_name ip_addr mask
                             standby ip_addr
      
      

      Nesta documentação, para configurar o link de failover, 10.1.0.1 é usado para a unidade ativa, 10.1.0.2 é usado para a unidade de standby e "failover" é um nome de interface de Ethernet3.

      hostname(config)#failover interface ip failover 10.1.0.1
                             255.255.255.0 standby 10.1.0.2
      

      Nota: Insira este comando exatamente da mesma forma que ele foi executado na unidade primária quando a interface de failover foi configurada naquela unidade.

    3. Habilite a interface.

      hostname(config)#interface phy_if
      
      
      hostname(config-if)#no shutdown
      
      

      Por exemplo, neste cenário, Ethernet3 é usada para o failover.

      hostname(config)#interface ethernet3
      
      hostname(config-if)#no shutdown
      
  3. (Opcional) Defina esta unidade como a unidade secundária:

    hostname(config)#failover lan unit secondary
    

    Nota: Este passo é opcional porque, por padrão, as unidades são designadas como secundárias, a menos que tenham sido configuradas previamente de outra forma.

  4. Habilite o failover:

    hostname(config)#failover
    

    Nota: Após o failover ser habilitado, a unidade ativa envia a configuração na memória de execução para a unidade de standby. À medida que a configuração é sincronizada, as mensagens Beginning configuration replication: Sending to mate" e "End Configuration Replication to mate" são mostradas no console da unidade ativa.

  5. Após a conclusão da replicação da configuração em execução, salve a configuração na memória Flash.

    hostname(config)#copy running-config startup-config
    

Configurações

Este documento utiliza as seguintes configurações:

PIX primário

pix#show running-config
 PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!

!--- Configure "no shutdown" na interface do failover stateful
!--- do PIX primário e do secundário.


interface Ethernet2
nameif state

	 description STATE Failover Interface

interface ethernet3
nameif failover

  description LAN Failover Interface

!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list 101 extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500

failover
failover lan unit primary
failover lan interface failover Ethernet3
failover lan enable
failover key ******
failover link state Ethernet2
failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2

asdm image flash:/asdm-521.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list 101
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

PIX secundário

pix#show running-config

failover
failover lan unit secondary
failover lan interface failover Ethernet3
failover lan enable
failover key ******
failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2

Verificação da Configuração de Failover Baseado em Cabo

Uso do Comando show failover

Esta seção descreve a saída do comando show failover. Em cada unidade, você pode verificar o status do failover com o comando show failover.

PIX primário

pix#show failover
Failover On
Cable status: Normal
Failover unit Primary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(1), Mate 7.2(1)
Last Failover at: 06:07:44 UTC Dec 26 2006
        This host: Primary - Active
                Active time: 1905 (sec)
                  Interface outside (172.16.1.1): Normal
                  Interface inside (192.168.1.1): Normal
        Other host: Secondary - Standby Ready
                Active time: 0 (sec)
                  Interface outside (172.16.1.2): Normal
                  Interface inside (192.168.1.2): Normal

Stateful Failover Logical Update Statistics
        Link : state Ethernet2 (down)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         0          0          0          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          0          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       0       0

PIX secundário

pix(config)#show failover
Failover On
Cable status: Normal
Failover unit Secondary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(1), Mate 7.2(1)
Last Failover at: 00:00:18 UTC Jan 1 1993
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                  Interface outside (172.16.1.2): Normal
                  Interface inside (192.168.1.2): Normal
        Other host: Primary - Active
                Active time: 154185 (sec)
                  Interface outside (172.16.1.1): Normal
                  Interface inside (192.168.1.1): Normal

Stateful Failover Logical Update Statistics
        Link : state Ethernet2 (down)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         0          0          0          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          0          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       0       0

Use o comando show failover state para verificar o estado.

PIX primário

pix#show failover state
====My State===
Primary | Active |
====Other State===
Secondary | Standby |
====Configuration State===
        Sync Done
====Communication State===
        Mac set
=========Failed Reason==============
My Fail Reason:
Other Fail Reason:
        Comm Failure

Unidade secundária

pix#show failover state
====My State===
Secondary | Standby |
====Other State===
Primary | Active |
====Configuration State===
        Sync Done - STANDBY
====Communication State===
        Mac set
=========Failed Reason==============
My Fail Reason:
Other Fail Reason:

Para verificar os endereços IP da unidade de failover, use o comando show failover interface.

Unidade primária

pix#show failover interface
        interface state Ethernet2
                System IP Address: 10.0.0.1 255.0.0.0
                My IP Address    : 10.0.0.1
                Other IP Address : 10.0.0.2

Unidade secundária

pix#show failover interface
        interface state Ethernet2
                System IP Address: 10.0.0.1 255.0.0.0
                My IP Address    : 10.0.0.2
                Other IP Address : 10.0.0.1

Exibição das Interfaces Monitoradas

Para exibir o status das interfaces monitoradas, no modo de contexto simples, execute o comando show monitor-interface no modo de configuração global. No modo de contexto múltiplo, insira o comando show monitor-interface em um contexto.

PIX primário

pix(config)#show monitor-interface
        This host: Primary - Active
                Interface outside (172.16.1.1): Normal
                Interface inside (192.168.1.1): Normal
        Other host: Secondary - Standby Ready
                Interface outside (172.16.1.2): Normal
                Interface inside (192.168.1.2): Normal

PIX secundário

pix(config)#show monitor-interface
        This host: Secondary - Standby Ready
                Interface outside (172.16.1.2): Normal
                Interface inside (192.168.1.2): Normal
        Other host: Primary - Active
                Interface outside (172.16.1.1): Normal
                Interface inside (192.168.1.1): Normal

Exibição dos Comandos de Failover na Configuração em Execução

Para exibir os comandos de failover na configuração em execução, execute este comando:

hostname(config)#show running-config failover

Todos os comandos de failover são exibidos. Nas unidades em execução no modo de contexto múltiplo, execute o comando show running-config failover no espaço de execução do sistema. Insira o comando show running-config all failover para exibir os comandos de failover na configuração em execução e inclua os comandos para os quais você não alterou o valor padrão.

Testes de Funcionalidade do Failover

Para testar a funcionalidade do failover, execute estes passos:

  1. Verifique se sua unidade ativa ou seu grupo de failover transmite tráfego conforme esperado usando o FTP (por exemplo) para transferir um arquivo entre hosts em interfaces diferentes.

  2. Force um failover para a unidade de standby com este comando:

    • No failover Ativo/Standby, insira este comando na unidade ativa:

      hostname(config)#no failover active
      
  3. Use o FTP para enviar outro arquivo entre os mesmos dois hosts.

  4. Se o teste falhar, execute o comando show failover command para verificar o status do failover.

  5. Após terminar, você poderá restaurar a unidade ou o grupo de failover para o status ativo com este comando:

    No failover Ativo/Standby, insira este comando na unidade ativa:

    hostname(config)#failover active
    

Failover Forçado

Para forçar a unidade de standby a se tornar ativa, execute um destes comandos:

Insira este comando na unidade de standby:

hostname#failover active

Insira este comando na unidade ativa:

hostname#no failover active

Failover Desabilitado

Para desabilitar o failover, execute o seguinte comando:

hostname(config)#no failover

Se você desabilitar o failover em um par Ativo/Standby, o estado de ativo ou standby de cada unidade será mantido até ela ser reiniciada. Por exemplo, a unidade de standby permanece no modo de standby para que as duas unidades não comecem a transmitir tráfego. Para tornar a unidade de standby ativa, (mesmo com o failover desabilitado), consulte a seção Failover Forçado.

Se você desabilitar o failover no par Ativo/Ativo, os grupos de failover permanecerão no estado ativo na unidade em que eles estiverem ativos no momento, independentemente de qual unidade eles foram configurados para preferir. O comando no failover pode ser executado no espaço de execução do sistema.

Restauração de uma Unidade com Falha

Para restaurar uma unidade com falha para um estado sem falha, execute este comando:

hostname(config)#failover reset

A restauração de uma unidade que falhou para um estado sem falha não a torna ativa automaticamente. As unidades ou grupos restaurados permanecem no estado de standby até serem ativadas por um failover (forçado ou natural). Uma exceção é um grupo de failover configurado com o comando preempt. Se previamente ativo, um grupo de failover se torna ativo quando é configurado com o comando preempt e se a unidade em que ele falhou é a unidade preferencial.

Troubleshooting

Quando um failover ocorre, ambos os Security Appliances enviam mensagens de sistema. Esta seção inclui estes tópicos:

  1. Monitoração de Failover

  2. Falha da Unidade

  3. Mensagens de Sistema do Failover

  4. Mensagens de Depuração

  5. SNMP

Monitoramento de Failover

Este exemplo demonstra o que acontece quando o failover não começou a monitorar as interfaces de rede. O failover não inicia a monitoração das interfaces da rede até que tenha recebido o segundo pacote de "hello" da outra unidade nessa interface. Isto leva aproximadamente 30 segundos. Se a unidade estiver conectada a um switch de rede que executa o Spanning Tree Protocol (STP), ela levará duas vezes o tempo de "retardo de encaminhamento" configurado no switch (normalmente 15 segundos), mais esse atraso de 30 segundos. Isso acontece porque na reinicialização do PIX e imediatamente após um evento de failover, o switch da rede detecta um loop temporário de bridge. Ao detectar esse loop, ele pára de encaminhar pacotes nessas interfaces pelo tempo de "retardo de encaminhamento". Ele então entra no modo de "escuta" por um tempo de "retardo de encaminhamento" adicional durante o qual o switch escuta loops de brige sem encaminhar tráfego (nem pacotes de "hello" de failover). Após o dobro do tempo de atraso de encaminhamento (30 segundos), o tráfego volta a fluir. Cada PIX permanece em um modo de "espera" até escutar 30 segundos de pacotes de "hello" da outra unidade. Durante o tempo em que o PIX está transferindo tráfego, ele não determinará a falha da outra unidade caso não escute os pacotes de "hello". Todo o restante da monitoração de failover ainda ocorre (ou seja, alimentação, perda do link na interface e "hello" do cabo de failover).

Para o failover, a Cisco recomenda que os clientes ativem o portfast em todas as portas do switch que se conectam às interfaces do PIX. Além disso, o trunking e a canalização devem ser desabilitados nessas portas. Se a interface do PIX for desabilitada durante o failover, o switch não precisará aguardar 30 segundos enquanto a porta passa do estado de escuta para aprendizado e para encaminhamento.

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active
			Active time: 6930 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)
		Other host: Secondary - Standby
			Active time: 15 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Normal (Waiting)

Em resumo, verifique estes passos para reduzir os problemas de failover:

  • Verifique os cabos de rede conectados à interface no estado de espera/falha e, se possível, substitua-os.

  • Se houver um switch conectado entre as duas unidades, verifique se as redes conectadas à interface no estado de espera/falha estão funcionando corretamente.

  • Verifique a porta do switch conectada à interface no estado de espera/falha e, se possível, use outra porta de FE no switch.

  • Verifique se você habilitou o port fast e desabilitou o trunking e a canalização nas portas do switch conectadas à interface.

Falha de Unidade

Nesse exemplo, o failover detectou uma falha. Observe que a Interface 1 na unidade principal é a origem da falha. As unidades voltam para o modo de "espera" devido à falha. A unidade com falha se removeu da rede (as interfaces estão desativadas) e não envia mais pacotes de "hello" na rede. A unidade ativa permanecerá no estado de "espera" até que a unidade defeituosa seja substituída e a comunicação de failover seja reiniciada.

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Standby (Failed)
			Active time: 7140 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Failed (Waiting)
		Other host: Secondary - Active
			Active time: 30 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)

Mensagens de Sistema do Failover

O Security Appliance emite várias mensagens de sistema relacionadas ao failover no nível de prioridade 2, o que indica uma condição crítica. Para exibir estas mensagens, consulte Configuração de Log e Mensagens do Log do Sistema do Cisco Security Appliance para habilitar o log e ver descrições das mensagens de sistema.

Nota: Na troca, o failover encerra de forma lógica e ativa interfaces, o que gera as mensagens 411001 e 411002 do Syslog. Isso é normal.

Mensagens de Depuração

Para ver as mensagens de depuração, execute o comando debug fover. Consulte a Referência de Comandos do Cisco Security Appliance para obter mais informações.

Nota: Como a saída de depuração recebe uma prioridade alta no processamento da CPU, ela pode afetar drasticamente o desempenho do sistema. Por isso, use o comando debug fover somente para fazer o troubleshooting de problemas específicos ou em sessões de troubleshooting acompanhadas pela equipe de suporte técnico da Cisco.

SNMP

Para receber interceptações de Syslog de SNMP para o failover, configure o agente SNMP para enviar interceptações SNMP para estações de gerenciamento SNMP, defina um host de Syslog e compile o MIB do Syslog Cisco em sua estação de gerenciamento SNMP. Consulte os comandos snmp-server e logging na Referência de Comandos do Cisco Security Appliance para obter mais informações.

Tempo de Poll do Failover

Para especificar os tempos de poll e espera da unidade de failover, use o comando failover polltime no modo de configuração global.

O comando failover polltime unit msec [time] representa o intervalo de tempo da verificação da existência da unidade de standby com o uso de mensagens de hello de polling.

De forma semelhante, failover holdtime unit msec [time] representa o período de tempo durante o qual uma unidade deve receber uma mensagem de hello no link de failover. Decorrido esse tempo, a unidade peer é declarada como tendo sofrido uma falha.

Para especificar os tempos de poll e espera da interface de dados em uma configuração de failover Ativo/Standby, use o comando failover polltime interface no modo de configuração global. Para restaurar os tempos de poll e espera padrão, use a forma no deste comando.

failover polltime interface [msec] time [holdtime time]

Use o comando failover polltime interface para alterar a freqüência na qual cada pacote de hello é enviado pelas interfaces de dados. Esse comando está disponível somente no failover Ativo/Standby. No failover Ativo/Ativo, use o comando polltime interface no modo de configuração de grupo do failover em vez do comando failover polltime interface.

Não é possível inserir um valor de holdtime inferior a 5 vezes o tempo de poll da interface. Quando um tempo de poll menor é usado, o Security Appliance pode detectar uma falha e acionar o failover mais rápido. No entanto, uma detecção muito rápida pode causar trocas desnecessárias quando a rede está congestionada temporariamente. O teste da interface começa quando um pacote de hello não é ouvido na interface por metade do tempo de espera.

Você pode incluir o comando failover polltime unit e o comando failover polltime interface na configuração.

Este exemplo define a freqüência do tempo de poll da interface como 500 milissegundos e o tempo de espera como 5 segundos:

hostname(config)#failover polltime interface msec 500 holdtime 5

Consulte a seção failover polltime da Referência de Comandos do Cisco Security Appliance, Versão 7.2 para obter mais informações.

Configuração da Exportação do Certificado/Chave Privada no Failover

O dispositivo primário replica automaticamente o certificado/chave privada para a unidade secundária. Execute o comando write memory na unidade ativa para replicar a configuração (que inclui o certificado/chave privada) para a unidade de standby. Todos os certificados/chaves na unidade de standby são apagados e preenchidos novamente com a configuração da unidade ativa.

Nota: Você não deve importar manualmente certificados, chaves e pontos de confiança do dispositivo ativo para exportá-los para o dispositivo de standby.

Failover de Módulos ASA

Se o Advanced Inspection and Prevention Security Services Module (AIP-SSM) ou o Content Security and Control Security Services Module (CSC-SSM) forem usados nas unidades ativa e de standby, eles funcionarão de forma independente do ASA em termos de failover. Os módulos devem ser configurados manualmente nas unidades ativa e de standby. O failover não replicará a configuração dos módulos.

Em termos de failover, ambas as unidades ASA que possuem os módulos AIP-SSM ou CSC-SSM devem ser do mesmo tipo de hardware. Por exemplo, se a unidade primária possuir o módulo ASA-SSM-10, a unidade secundária deverá possuir o módulo ASA-SSM-10.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 77809