Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

PIX/ASA 7.x: Exemplo de Configuração de Failover Ativo/Ativo

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (4 Novembro 2009) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Failover Ativo/Ativo
      Visão Geral do Failover Ativo/Ativo
      Status Primário/Secundário e Status Ativo/Standby
      Inicialização dos Dispositivos e Sincronização da Configuração
      Replicação de Comandos
      Acionadores de Failover
      Ações de Failover
Failover Regular e Stateful
      Failover Regular
      Failover Stateful
Limitações da Configuração do Failover
      Recursos sem Suporte
Configuração de Failover Ativo/Ativo Baseado em Cabo
      Pré-requisitos
      Diagrama de Rede
      Configurações
Configuração de Failover Ativo/Ativo Baseado em LAN
      Diagrama de Rede
      Configuração da Unidade Primária
      Configuração da Unidade Secundária
      Configurações
Verificação
      Uso do Comando show failover
      Exibição das Interfaces Monitoradas
      Exibição dos Comandos de Failover na Configuração em Execução
      Testes de Funcionalidade de Failover
      Failover Forçado
      Failover Desabilitado
      Restauração de uma Unidade com Falha
Troubleshooting
      Mensagens de Sistema do Failover
      Mensagens de Depuração
      SNMP
      Tempo de Poll do Failover
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

A configuração de failover necessita de dois Security Appliances idênticos conectados um ao outro através de um link de failover dedicado e, opcionalmente, de um link de failover stateful. A integridade das interfaces e unidades ativas é monitorada para determinar se as condições de failover específicas são atendidas. Se as condições são atendidas, o failover é acionado.

O Security Appliance oferece suporte a duas configurações de failover, Failover Ativo/Ativo e Failover Ativo/Standby. Cada configuração possui seu próprio método de determinar e executar o failover. Com o Failover Ativo/Ativo, ambas as unidades podem transmitir tráfego de rede. Isso permite configurar o balanceamento de carga na sua rede. O Failover Ativo/Ativo está disponível somente em unidades em execução no modo de contexto múltiplo. Com o Failover Ativo/Standby, somente uma unidade transmite tráfego, enquanto que a outra aguarda em um estado de standby. O Failover Ativo/Standby está disponível em unidades em execução nos modos de contexto simples ou múltiplo. Ambas as configurações oferecem suporte ao failover stateful ou stateless (regular).

Este documento descreve como configurar o Failover Ativo/Ativo no Cisco PIX/ASA Security Appliance.

Consulte PIX/ASA 7.x: Exemplo de Configuração de Failover Ativo/Standby para obter mais informações sobre as configurações de Failover Ativo/Standby.

Nota: Não há suporte ao failover de VPN em unidades no modo de contexto múltiplo. O failover de VPN está disponível somente nas configurações de Failover Ativo/Standby.

Este guia de configuração apresenta um exemplo de configuração que inclui uma rápida introdução à tecnologia Ativo/Ativo do PIX/ASA 7.x. Consulte a Referência de Comandos do Cisco Security Appliance Versão 7.2 para obter mais detalhes sobre a teoria por trás desta tecnologia.

Pré-requisitos

Requisitos

Requisito de Hardware

As duas unidades em uma configuração de failover devem ter a mesma configuração de hardware. Elas devem ser do mesmo modelo, possuir o mesmo número e os mesmos tipos de interface e também a mesma quantidade de RAM.

Nota: O tamanho da memória Flash das duas unidades não precisa ser o mesmo. Se você usar unidades com tamanhos de memória Flash diferentes em sua configuração de failover, certifique-se de que a unidade com a menor memória Flash possua espaço suficiente para acomodar os arquivos de imagem de software e os arquivos de configuração. Caso contrário, a sincronização da configuração da unidade com memória Flash maior para a unidade com memória Flash menor falhará.

Requisito de Software

As duas unidades em uma configuração de failover devem estar nos modos operacionais (roteado ou transparente, contexto simples ou múltiplo). Elas devem possuir as mesmas versões de software principal (primeiro número) e secundária (segundo número), mas é possível usar diferentes versões do software em um processo de upgrade. Por exemplo, você pode fazer o upgrade uma unidade da versão 7.0(1) para a versão 7.0(2) e manter o failover ativo. Recomendamos fazer o upgrade de ambas as unidades para a mesma versão para garantir compatibilidade em tempo real.

Requisitos de Licença

Na plataforma PIX/ASA Security Appliance, ao menos uma das unidades deve possuir uma licença irrestrita (UR). A outra unidade pode ter uma licença Somente Failover Ativo-Ativo (FO_AA) ou outra licença UR. Unidades com licenças restritas não podem ser usadas para o failover, e duas unidades com licenças FO_AA não podem ser usadas em conjunto como um par de failover.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • PIX Security Appliance com versão 7.x

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser utilizada com estas versões de hardware e software:

  • ASA com versão 7.x

Nota: O Failover Ativo/Ativo não está disponível no ASA 5505 Series Adaptive Security Appliance.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Failover Ativo/Ativo

Esta seção descreve o Failover Ativo/Ativo e contém os seguintes tópicos:

Visão Geral do Failover Ativo/Ativo

O Failover Ativo/Ativo está disponível somente em Security Appliances em execução no modo de contexto múltiplo. Em uma configuração de Failover Ativo/Ativo, ambos os Security Appliances podem transmitir tráfego de rede.

No Failover Ativo/Ativo, os contextos de segurança no Security Appliance são divididos em grupos de failover. Um grupo de failover nada mais é do que um grupo lógico de um ou mais contextos de segurança. É possível criar no máximo dois grupos de failover no Security Appliance. O contexto de administrador é sempre um membro do grupo de failover 1. Quaisquer contextos de segurança não atribuídos também são membros do grupo 1 por padrão.

Os grupos de failover formam a unidade base do Failover Ativo/Ativo. Monitoração de falhas de interface, failover e os status ativo/standby são todos atributos de um grupo de failover, e não da unidade. Quando um grupo de failover ativo falha, ele entra no estado de standby. Ao mesmo tempo, o grupo de failover de standby se torna ativo. As interfaces no grupo de failover que se torna ativo assumem os endereços MAC e IP das interfaces do grupo de failover que falhou. As interfaces no grupo de failover que agora está no estado de standby assumem os endereços MAC e IP de standby.

Nota: A falha de um grupo de failover em uma unidade não significa que a unidade falhou. A unidade ainda pode ter outro grupo de failover transmitindo tráfego.

Status Primário/Secundário e Status Ativo/Standby

Assim como no Failover Ativo/Standby, uma unidade em um par de Failover Ativo/Ativo é designada como a unidade primária e a outra como unidade secundária. Ao contrário do Failover Ativo/Standby, essa designação não indica que unidade se torna ativa quando ambas as unidades são iniciadas simultaneamente. Em vez disso, a designação primária/secundária faz duas coisas:

  • Determina qual unidade fornece a configuração em execução para o par quando eles tentam inicializar simultaneamente.

  • Determina em qual unidade cada grupo de failover entra no estado ativo quando as unidades inicializam ao mesmo tempo. Cada grupo de failover na configuração é configurado com uma preferência de unidade primária ou secundária. Você pode configurar ambos os grupos de failover no estado ativo em uma única unidade do par, enquanto que as outras unidades contêm os grupos de failover no estado de standby. No entanto, uma configuração mais típica é atribuir cada grupo de failover a uma preferência de função diferente para tornar cada um ativo em uma unidade diferente, distribuindo o tráfego entre os dispositivos.

    Nota: O Security Appliance não fornece serviços de balanceamento de carga. O balanceamento de carga deve ser gerenciado por um roteador que envia tráfego para o Security Appliance.

A unidade em que cada grupo de failover se torna ativo é determinada conforme mostrado.

  • Quando uma unidade inicializa sem que a unidade peer esteja disponível, ambos os grupos de failover se tornam ativos na unidade.

  • Quando uma unidade inicializa enquanto a unidade peer está ativa (com ambos os grupos de failover no estado ativo), os grupos de failover permanecerão no estado ativo na unidade ativa independentemente da preferência de primário ou secundário do grupo de failover até que:

    • Um failover ocorra.

    • Você force manualmente o grupo de failover para a outra unidade com o comando no failover active.

    • Você configure o grupo de failover com o comando preempt, o que fará com que o grupo de failover se torne ativo automaticamente na unidade preferida quando a unidade se tornar disponível.

  • Quando ambas as unidades inicializarem ao mesmo tempo, cada grupo de failover se tornará ativo em sua unidade preferencial após as configurações terem sido sincronizadas.

Inicialização dos Dispositivos e Sincronização da Configuração

A sincronização da configuração ocorre quando uma ou ambas as unidades em um par de failover inicializam. As configurações são sincronizadas da seguinte forma:

  • Quando uma unidade inicializa quando a unidade peer está ativa (com ambos os grupos de failover ativos), a unidade que está inicializando se comunica com a unidade ativa para obter a configuração em execução, independentemente da designação de primária ou secundária da primeira unidade.

  • Quando ambas as unidades inicializam ao mesmo tempo, a unidade secundária obtém a configuração em execução da unidade primária.

Quando a replicação é iniciada, o console do Security Appliance na unidade que envia a configuração exibe a mensagem "Beginning configuration replication: Sending to mate". Quando ela é concluída, o Security Appliance exibe a mensagem "End Configuration Replication to mate". Durante a replicação, os comandos inseridos na unidade que envia a configuração podem não ser replicados adequadamente na unidade peer, e os comandos inseridos na unidade que recebe a configuração podem ser sobrescritos pela configuração que está sendo recebida. Evite executar comandos em qualquer uma das unidades do par de failover durante o processo de replicação de configuração. Dependendo do tamanho da configuração, a replicação pode levar de alguns segundos a vários minutos.

Na unidade que recebe a configuração, a configuração existe somente na memória de execução. Para salvar a configuração na memória Flash após a sincronização, insira o comando write memory all no espaço de execução do sistema na unidade que possui o grupo de failover 1 no estado ativo. O comando é replicado para a unidade peer, a qual escreve sua configuração na memória Flash. O uso da palavra-chave all com esse comando faz com que o sistema e todas as suas configurações de contexto sejam salvas.

Nota: As configurações de inicialização salvas em servidores externos são acessíveis de cada unidade da rede e não precisam ser salvas separadamente para cada unidade. Você também pode copiar os contextos dos arquivos de configuração do disco na unidade primária para um servidor externo, e então copiá-los para o disco da unidade secundária, onde eles se tornarão disponíveis quando a unidade recarregar.

Replicação de Comandos

Após ambas as unidades começarem a executar, os comandos serão replicados de uma unidade para a outra:

  • Os comandos inseridos com um contexto de segurança são replicados da unidade na qual o contexto de segurança está no estado ativo para a unidade peer.

    Nota:  O contexto é considerado no estado ativo de uma unidade quando o grupo de failover ao qual ele pertence está no estado ativo dessa unidade.

  • Os comandos inseridos no espaço de execução do sistema são replicados da unidade na qual o grupo de failover 1 está no estado ativo para a unidade na qual o grupo de failover 1 está no estado de standby.

  • Os comandos inseridos no contexto de administrador são replicados da unidade na qual o grupo de failover 1 está no estado ativo para a unidade na qual o grupo de failover 1 está no estado de standby.

Todos os comandos de configuração e arquivo (copy, rename, delete, mkdir, rmdir e assim por diante) são replicados, com as seguintes exceções: os comandos show, debug, mode, firewall, failover lan unit não são replicados.

Falhar ao executar os comandos na unidade apropriada para que a replicação de comandos ocorra fará com que as configurações fiquem fora de sincronia. Essas alterações poderão ser perdidas na próxima vez que a sincronização de configuração inicial ocorrer.

Você pode usar o comando write standby para ressincronizar as configurações dessincronizadas. No Failover Ativo/Ativo, o comando write standby se comporta da seguinte forma:

  • Se você executar o comando write standby no espaço de execução do sistema, a configuração do sistema e as configurações para todos os outros contextos de segurança no Security Appliance serão escritas na unidade peer. Isso inclui informações de configuração para contextos de segurança no estado de standby. Você deve executar o comando no espaço de execução do sistema na unidade que possui o grupo de failover 1 no estado ativo.

    Nota: Se houver contextos de segurança no estado ativo na unidade peer, o comando write standby causará o encerramento das conexões ativas por meio desses contextos. Use o comando failover active na unidade que fornece a configuração para ter certeza de que todos os contextos estejam ativos nessa unidade antes de executar o comando write standby.

  • Se você inserir o comando write standby em um contexto de segurança, somente a configuração do contexto de segurança será escrita na unidade peer. Você deve inserir o comando no contexto de segurança da unidade em que o contexto está no estado ativo.

Os comandos replicados não são salvos na memória Flash ao serem replicados para a unidade peer. Eles são adicionados à configuração em execução. Para salvar os comandos replicados na memória Flash de ambas as unidades, execute o comando write memory ou copy running-config startup-config na unidade na qual você fez as alterações. O comando é replicado para a unidade peer e faz com que a configuração seja salva na memória Flash da unidade peer.

Acionadores de Failover

No Failover Ativo/Ativo, o failover pode ser acionado no nivel da unidade quando um dos seguintes eventos ocorre:

  • A unidade sofre uma falha de hardware.

  • A unidade sofre uma falha de alimentação de energia.

  • A unidade sofre uma falha de software.

  • O comando no failover active ou failover active é inserido no espaço de execução do sistema.

O failover é acionado no nível do grupo de failover quando um dos seguintes eventos ocorre:

  • Um número excessivo de interfaces monitoradas no grupo falha.

  • O comando no failover active group group_id ou failover active group group_id é inserido.

Ações de Failover

Na configuração de Failover Ativo/Ativo, o failover ocorre com base em grupos de failover, e não em sistema. Por exemplo, se você designar ambos os grupos de failover como ativos na unidade primária e o grupo 1 falhar, o grupo 2 permanecerá ativo na unidade primária e o grupo 1 se tornará ativo na unidade secundária.

Nota: Ao configurar o Failover Ativo/Ativo, certifique-se de que o tráfego combinado para ambas as unidades esteja dentro da capacidade de cada unidade.

Esta tabela mostra a ação de failover para cada evento de falha. Para cada evento de falha, a política (se o failover ocorre ou não), as ações para o grupo de failover ativo e as ações para o grupo de failover de standby são fornecidas.

Evento de falha

Política

Ação do grupo ativo

Ação do grupo de standby

Notas

A unidade sofre uma falha de alimentação de energia ou software

Failover

Tornar standby. Marcar como falha.

Tornar standby. Marcar ativo como falha.

Quando uma unidade em um par de failover falha, todos os grupos de failover ativos nessa unidade são marcados como com falha e se tornam ativos na unidade peer.

Falha de interface no grupo de failover ativo acima do limite

Failover

Marcar grupo ativo como falha.

Tornar ativo.

Nenhuma

Falha de interface no grupo de failover standby acima do limite

Nenhum failover

Nenhuma ação

Marcar grupo de standby como falha.

Quando o grupo de failover de standby é marcado como falha, o grupo de failover ativo não tenta executar o failover, mesmo quando o limite de falha da interface é ultrapassado.

O grupo de failover ativo anterior se recupera

Nenhum failover

Nenhuma ação

Nenhuma ação

A menos que configurado com o comando preempt, o grupo de failover permanece ativo em sua unidade atual.

Falha do link de failover na inicialização

Nenhum failover

Tornar ativo.

Tornar ativo.

Se o link de failover estiver inativo na inicialização, ambos os grupos de failover em ambas as unidades se tornarão ativos.

Falha do link de failover stateful

Nenhum failover

Nenhuma ação

Nenhuma ação

As informações de estado se tornam desatualizadas e as sessões são terminadas quando um failover ocorre.

Falha do link de failover durante a operação

Nenhum failover

n/d

n/d

Cada unidade marca a interface do failover como falha. Você deve restaurar o link de failover o mais rápido possível porque a unidade não pode executar o failover para a unidade de standby quando o link está inoperante.

Failover Regular e Stateful

O Security Appliance oferece suporte a dois tipos de failover: regular e stateful. Esta seção inclui estes tópicos:

Failover Regular

Quando um failover ocorre, todas as conexões ativas são interrompidas. Os clientes precisam restabelecer as conexões quando a nova unidade ativa assume.

Failover Stateful

Quando o failover stateful está habilitado, a unidade ativa transmite continuamente informações de estado das conexões para a unidade de standby. Quando um failover ocorre, as mesmas informações de conexão estão disponíveis na nova unidade ativa. Os aplicativos de usuário final com suporte não precisam se reconectar para manter a mesma sessão de comunicação.

As informações de estado passadas para a unidade de standby incluem:

  • A tabela de conversão de NAT

  • Os estados das conexões de TCP

  • Os estados das conexões de UDP

  • A tabela ARP

  • A tabela da bridge da camada 2 (quando executada no modo de firewall transparente)

  • Os estados das conexões de HTTP (se a replicação de HTTP estiver habilitada)

  • A tabela ISAKMP e IPSec SA

  • O banco de dados de conexão PDP do GTP

As informações que não são passadas para a unidade de standby quando o failover stateful é habilitado incluem:

  • A tabela das conexões de HTTP (a menos que a replicação de HTTP esteja habilitada)

  • A tabela de autenticação de usuários (uauth)

  • As tabelas de roteamento

  • As informações de estado para os módulos de serviços de segurança

Nota:  Se o failover ocorrer em uma sessão ativa do Cisco IP SoftPhone, a chamada permanecerá ativa porque as informações de estado da sessão da chamada são replicadas para a unidade de standby. Quando a chamada é terminada, o cliente IP SoftPhone perde a conexão com o Call Manager. Isso ocorre porque não há informações de sessão para a mensagem de desligar CTIQBE na unidade de standby. Quando o cliente IP SoftPhone não recebe uma resposta do Call Manager em um determinado período de tempo, ele considera o Call Manager impossível de ser alcançado e cancela seu próprio registro.

Limitações da Configuração do Failover

O failover não pode ser configurado com os seguintes tipos de endereços IP:

  • Endereços IP obtidos por DHCP

  • Endereços IP obtidos por PPPoE

  • Endereços IPv6

Além disso, as seguintes restrições se aplicam:

  • Não há suporte ao failover stateful no ASA 5505 Adaptive Security Appliance.

  • Não há suporte ao Failover Ativo/Ativo no ASA 5505 Adaptive Security Appliance.

  • Não é possível configurar o failover quando o Easy VPN Remote está habilitado no ASA 5505 Adaptive Security Appliance.

  • Não há suporte ao failover de VPN no modo de contexto múltiplo.

Recursos sem Suporte

O modo de contexto múltiplo não oferece suporte aos seguintes recursos:

  • Protocolos de roteamento dinâmico

    Os contextos de segurança aceitam somente rotas estáticas. Não é possível habilitar o OSPF ou RIP no modo de contexto múltiplo.

  • VPN

  • Transmissão múltipla

Configuração de Failover Ativo/Ativo Baseado em Cabo

Pré-requisitos

Antes de começar, verifique o seguinte:

  • Se ambas as unidades possuem o mesmo hardware, a mesma configuração de software e a licença apropriada.

  • Se ambas as unidades estão no mesmo modo (simples ou múltiplo, transparente ou roteado).

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

pix-activeactive-config1.gif

Siga estas etapas para configurar o Failover Ativo/Ativo usando um cabo serial como o link de failover. Os comandos nesta tarefa são inseridos na unidade primária do par de failover. A unidade primária é a unidade que possui a extremidade do cabo rotulada "Primary" conectada a ela. Para dispositivos no modo de contexto múltiplo, os comandos são inseridos no espaço de execução do sistema, a menos que especificado de outra forma.

Não é necessário fazer o bootstrap da unidade secundária no par de failover quando failover baseado em cabo é usado. Mantenha a unidade secundária desligada até ser instruído a ligá-la.

Nota: O failover baseado em cabo está disponível somente no PIX 500 Series Security Appliance.

Conclua os passos a seguir para configurar o Failover Ativo/Ativo baseado em cabo.

  1. Conecte o cabo de failover aos PIX 500 Series Security Appliances. Certifique-se de conectar a extremidade do cabo marcada como "Primary" à unidade usada como primária e a outra extremidade marcada como "Secondary" à unidade usada como secundária.

  2. Ligue a unidade primária.

  3. Caso ainda não tenha feito, configure os endereços IP ativo e de standby para cada interface de dados (modo roteado), para o endereço IP de gerenciamento (modo transparente) ou para a interface somente de gerenciamento. O endereço IP de standby é usado no Security Appliance que é a unidade de standby atual. Ele deve pertencer à mesma sub-rede que o endereço IP ativo.

    Você deve configurar os endereços da interface em cada contexto de segurança. Use o comando changeto context para alternar entre os contextos. O prompt de comandos é alterado para hostname/context(config-if)#, onde context é o nome do contexto atual. É necessário inserir um endereço IP de gerenciamento para cada contexto no modo de contexto múltiplo do firewall transparente.

    Nota: Não configure um endereço IP para o link de failover stateful se pretender usar uma interface de failover stateful dedicada. Use o comando failover interface ip para configurar uma interface de failover stateful dedicada em um passo posterior.

    hostname/context(config-if)#ip address active_addr netmask
                                       standby standby_addr
    
    

    No exemplo, a interface externa de context1 do PIX primário é configurada desta forma:

    PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0
                                        standby 172.16.1.2
    

    Para Context2

    PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0
                                           standby 192.168.2.2
    

    No modo de firewall roteado e para a interface somente de gerenciamento, este comando é inserido no modo de configuração de cada interface. No modo de firewall transparente, o comando é inserido no modo de configuração global.

  4. Para habilitar o failover stateful, configure o link de failover stateful.

    1. Especifique a interface que será usada como link de failover stateful:

      hostname(config)#failover link if_name phy_if
      
      

      Neste exemplo, a interface Ethernet2 é usada para trocar informações de estado do failover stateful.

      failover link stateful Ethernet2

      O argumento if_name atribui um nome lógico à interface especificada pelo argumento phy_if. O argumento phy_if pode ser o nome da porta física, como Ethernet1, ou uma subinterface criada anteriormente, como Ethernet0/2.3. Essa interface não deve ser usada para nenhum outro fim (exceto, opcionalmente, para o link de failover).

    2. Atribua um endereço IP ativo e de standby ao link de failover stateful:

      hostname(config)#failover interface ip if_name ip_addr
                                     mask standby ip_addr
      
      

      Neste exemplo, 10.0.0.1 é usado como endereço IP ativo e 10.0.0.2 é usado como endereço IP de standby para o link de failover stateful.

      PIX1(config)#failover interface ip stateful 10.0.0.1
                          255.255.255.0 standby 10.0.0.2
      

      O endereço IP de standby deverá estar na mesma sub-rede que o endereço IP ativo. Não é necessário identificar a máscara de sub-rede do endereço IP de standby.

      Os endereços IP e MAC do link de failover stateful não são alterados no failover, exceto quando o failover stateful usa uma interface de dados regular. O endereço IP ativo permanece sempre com a unidade primária, enquanto que o endereço IP de standby permanece com a unidade secundária.

    3. Habilite a interface:

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      
  5. Configure os grupos de failover. É possível haver no máximo dois grupos de failover. O comando failover group cria o grupo de failover especificado se ele ainda não existe e entra no modo de configuração do grupo de failover.

    Para cada grupo de failover, é necessário especificar se o grupo possui preferência primária ou secundária por meio do comando primary ou secondary. Você pode atribuir a mesma preferência a ambos os grupos de failover. Para configurações de balanceamento de carga, você deve atribuir a cada grupo de failover uma preferência de unidade diferente.

    O exemplo a seguir atribui ao grupo de failover 1 uma preferência primária e ao grupo de failover 2 uma preferência secundária:

    hostname(config)#failover group 1
    hostname(config-fover-group)#primary
    hostname(config-fover-group)#exit
    hostname(config)#failover group 2
    hostname(config-fover-group)#secondary
    hostname(config-fover-group)#exit
    
  6. Atribua o contexto de cada usuário a um grupo de failover usando o comando join-failover-group no modo de configuração de contexto.

    Quaisquer contextos não atribuídos são atribuídos automaticamente ao grupo de failover 1. O contexto de administrador é sempre um membro do grupo de failover 1.

    Insira os seguintes comandos para atribuir cada contexto a um grupo de failover:

    hostname(config)#context context_name
    
    hostname(config-context)#join-failover-group {1 | 2}
    hostname(config-context)#exit
    
  7. Habilite o failover:

    hostname(config)#failover
    
  8. Ligue a unidade secundária e habilite o failover na unidade caso ele ainda não tenha sido habilitado:

    hostname(config)#failover
    

    A unidade ativa envia a configuração na memória de execução para a unidade de standby. À medida que a configuração é sincronizada, as mensagens "Beginning configuration replication: Sending to mate" e "End Configuration Replication to mate" são mostradas no console principal.

  9. Salve a configuração na memória Flash da unidade primária. Como os comandos inseridos na unidade primária são replicados para a secundária, a unidade secundária também salva sua configuração na memória Flash.

    hostname(config)#copy running-config startup-config
    
  10. Se necessário, force qualquer grupo de failover ativo na unidade primária a entrar no estado ativo na secundária. Para forçar um grupo de failover a se tornar ativo na unidade secundária, execute o seguinte comando no espaço de execução do sistema da unidade primária:

    hostname#no failover active group group_id
    
    

    O argumento group_id especifica o grupo que você deseja que se torne ativo na unidade secundária.

Configurações

Este documento utiliza as seguintes configurações:

PIX1 - Configuração do Sistema

PIX1#show running-config
: Saved
PIX Version 7.2(2) <system>
!
hostname PIX1
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto


!--- Habilite as interfaces físicas e lógicas no espaço de execução do
!--- sistema ao fornecer "no shutdown" antes de configurar o mesmo nos contextos

!
interface Ethernet0
!
interface Ethernet0.1
 vlan 2
!
interface Ethernet0.2
 vlan 4
!
interface Ethernet1
!
interface Ethernet1.1
 vlan 3
!
interface Ethernet1.2
 vlan 5
!

!--- Configure "no shutdown" na interface de failover stateful
!--- do PIX primário e do secundário.

interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 shutdown
!
interface Ethernet4
 shutdown
!
interface Ethernet5
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24

!--- Comando para habilitar o recurso de failover

failover

!--- Comando para atribuir a interface para o failover stateful

failover link stateful Ethernet2

!--- Comando para configurar os IPs ativo e de standby para o
!--- failover stateful

failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2

!--- Configure o grupo 1 como primário

failover group 1

!--- Configure o grupo 1 como secundário

failover group 2
  secondary
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  config-url flash:/admin.cfg
!

!--- Comando para criar um contexto chamado "context1"

context context1

!--- Comando para alocar as interfaces lógicas aos contextos

  allocate-interface Ethernet0.1 inside_context1
  allocate-interface Ethernet1.1 outside_context1
  config-url flash:/context1.cfg

!--- Atribua este contexto ao grupo de failover 1

  join-failover-group 1
!

context context2
  allocate-interface Ethernet0.2 inside_context2
  allocate-interface Ethernet1.2 outside_context2
  config-url flash:/context2.cfg
  join-failover-group 2
!

prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

PIX1 - Configuração de Context1

PIX1/context1(config)#show running-config
: Saved
:
PIX Version 7.2(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside_context1
 nameif inside
 security-level 100

!--- Configure os IPs ativo e de standby para a interface lógica
!--- interna de context1.

 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!
interface outside_context1
 nameif outside
 security-level 0

!--- Configure os IPs ativo e de standby para a interface lógica
!--- externa de context1.

 ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list 100 extended permit tcp any host 172.16.1.1 eq www
pager lines 24
mtu inside 1500
mtu outside 1500
monitor-interface inside
monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (inside,outside) 172.16.1.1 192.168.1.5 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

PIX1 - Configuração de Context2

PIX1/context2(config)#show running-config
: Saved
:
PIX Version 7.2(2) <context>
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside_context2
 nameif inside
 security-level 100

!--- Configure os IPs ativo e de standby para a interface lógica
!--- interna de context2.

 ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
!
interface outside_context2
 nameif outside
 security-level 0

!--- Configure os IPs ativo e de standby para a interface lógica
!--- externa de context2.

 ip address 172.16.2.1 255.255.255.0 standby 172.16.2.2
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list 100 extended permit tcp any host 172.16.2.1 eq www
pager lines 24
mtu inside 1500
mtu outside 1500
monitor-interface inside
monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (inside,outside) 172.16.2.1 192.168.2.5 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.2.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Configuração de Failover Ativo/Ativo Baseado em LAN

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

pix-activeactive-config2.gif

Esta seção descreve como configurar o Failover Ativo/Ativo usando um link de failover Ethernet. Ao configurar o failover baseado em LAN, você deve fazer o bootstrap do dispositivo secundário para reconhecer o link de failover para que o dispositivo secundário possa obter a configuração em execução do dispositivo primário.

Esta seção inclui estes tópicos:

Configuração da Unidade Primária

Siga estes passos para configurar a unidade primária em uma configuração de Failover Ativo/Ativo.

  1. Caso ainda não tenha feito, configure os endereços IP ativo e de standby para cada interface de dados (modo roteado), para o endereço IP de gerenciamento (modo transparente) ou para a interface somente de gerenciamento. O endereço IP de standby é usado no Security Appliance que é a unidade de standby atual. Ele deve pertencer à mesma sub-rede que o endereço IP ativo.

    Você deve configurar os endereços da interface em cada contexto de segurança. Use o comando changeto context para alternar entre os contextos. O prompt de comandos é alterado para hostname/context(config-if)#, onde context é o nome do contexto atual. No modo de firewall transparente, você deve inserir um endereço IP de gerenciamento para cada contexto.

    Nota: Não configure um endereço IP para o link de failover stateful se pretender usar uma interface de failover stateful dedicada. Use o comando failover interface ip para configurar uma interface de failover stateful dedicada em um passo posterior.

    hostname/context(config-if)#ip address active_addr netmask
                                       standby standby_addr
    
    

    No exemplo, a interface externa de context1 do PIX primário é configurada desta forma:

    PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0
                                         standby 172.16.1.2
    

    Para Context2

    PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0
                                         standby 192.168.2.2
    

    No modo de firewall roteado e para a interface somente de gerenciamento, este comando é inserido no modo de configuração de cada interface. No modo de firewall transparente, o comando é inserido no modo de configuração global.

  2. Configure os parâmetros básicos do failover no espaço de execução do sistema.

    1. (Somente PIX Security Appliance) Habilite o failover baseado em LAN:

      hostname(config)#failover lan enable
      
    2. Defina a unidade como a unidade primária:

      hostname(config)#failover lan unit primary
      
    3. Especifique o link de failover:

      hostname(config)#failover lan interface if_name phy_if
      
      

      Neste exemplo, usamos a interface ethernet3 como a interface de failover baseado em LAN.

      PIX1(config)#failover lan interface LANFailover ethernet3
      

      O argumento if_name atribui um nome lógico à interface especificada pelo argumento phy_if. O argumento phy_if pode ser o nome da porta física, como Ethernet1, ou uma subinterface criada anteriormente, como Ethernet0/2.3. No ASA 5505 Adaptive Security Appliance, phy_if especifica uma VLAN. Essa interface não deve ser usada para nenhum outro fim (exceto, opcionalmente, para o link de failover stateful).

    4. Especifique os endereços IP ativo e de standby do link de failover:

      hostname(config)#failover interface ip if_name ip_addr
                                     mask standby ip_addr
      
      

      Neste exemplo, usamos 10.1.0.1 e 10.1.0.2 como endereços IP ativo e de standby para a interface de failover.

      PIX1(config)#failover interface ip LANFailover
            10.1.0.1 255.255.255.0 standby 10.1.0.2
      

      O endereço IP de standby deverá estar na mesma sub-rede que o endereço IP ativo. Não é necessário identificar a máscara de sub-rede do endereço IP de standby. O endereço IP e o endereço MAC do link de failover não são alterados no failover. O endereço IP ativo permanece sempre com a unidade primária, enquanto que o endereço IP de standby permanece com a unidade secundária.

  3. Para habilitar o failover stateful, configure o link de failover stateful:

    1. Especifique a interface que será usada como link de failover stateful:

      hostname(config)#failover link if_name phy_if
      
      
      PIX1(config)#failover link stateful ethernet2
      

      O argumento if_name atribui um nome lógico à interface especificada pelo argumento phy_if. O argumento phy_if pode ser o nome da porta física, como Ethernet1, ou uma subinterface criada anteriormente, como Ethernet0/2.3. Essa interface não deve ser usada para nenhum outro fim (exceto, opcionalmente, para o link de failover).

      Nota: Se o link de failover stateful usar o link de failover ou uma interface de dados convencional, você só precisará fornecer o argumento if_name.

    2. Atribua um endereço IP ativo e de standby ao link de failover stateful.

      Nota: Se o link de failover stateful usar o link de failover ou uma interface de dados regular, pule este passo. Você já definiu os endereços IP ativo e de standby para a interface.

      hostname(config)#failover interface ip if_name ip_addr
                                     mask standby ip_addr
      
      
      PIX1(config)#failover interface ip stateful 10.0.0.1
                          255.255.255.0 standby 10.0.0.2
      

      O endereço IP de standby deverá estar na mesma sub-rede que o endereço IP ativo. Não é necessário identificar a máscara de sub-rede do endereço de standby. O endereço IP e o endereço MAC do link não são alterados no failover. O endereço IP ativo permanece sempre com a unidade primária, enquanto que o endereço IP de standby permanece com a unidade secundária.

    3. Habilite a interface.

      Nota: Se o link de failover stateful usar o link de failover ou uma interface de dados regular, pule este passo. Você já habilitou a interface.

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      
  4. Configure os grupos de failover. É possível haver no máximo dois grupos de failover. O comando failover group cria o grupo de failover especificado se ele ainda não existe e entra no modo de configuração do grupo de failover.

    Para cada grupo de failover, especifique se o grupo possui preferência primária ou secundária por meio do comando primary ou secondary. Você pode atribuir a mesma preferência a ambos os grupos de failover. Para configurações de balanceamento de carga, você deve atribuir a cada grupo de failover uma preferência de unidade diferente.

    O exemplo a seguir atribui ao grupo de failover 1 uma preferência primária e ao grupo de failover 2 uma preferência secundária:

    hostname(config)#failover group 1
    hostname(config-fover-group)#primary
    hostname(config-fover-group)#exit
    hostname(config)#failover group 2
    hostname(config-fover-group)#secondary
    hostname(config-fover-group)#exit
    
  5. Atribua o contexto de cada usuário a um grupo de failover usando o comando join-failover-group no modo de configuração de contexto.

    Quaisquer contextos não atribuídos são atribuídos automaticamente ao grupo de failover 1. O contexto de administrador é sempre um membro do grupo de failover 1.

    Insira os seguintes comandos para atribuir cada contexto a um grupo de failover:

    hostname(config)#context context_name
    
    hostname(config-context)#join-failover-group {1 | 2}
    hostname(config-context)#exit
    
  6. Habilite o failover:

    hostname(config)#failover
    

Configuração da Unidade Secundária

Ao configurar o Failover Ativo/Ativo baseado em LAN, você deve fazer o bootstrap da unidade secundária para reconhecer o link de failover. Isso permite que a unidade secundária se comunique com e receba a configuração em execução da unidade primária.

Siga estes passos para fazer o bootstrap da unidade secundária em uma configuração de Failover Ativo/Ativo.

  1. (Somente PIX Security Appliance) Habilite o failover baseado em LAN.

    hostname(config)#failover lan enable
    
  2. Defina a interface de failover. Use as mesmas configurações aplicadas à unidade primária:

    1. Especifique a interface que será usada como interface de failover.

      hostname(config)#failover lan interface if_name phy_if
      
      
      PIX1(config)#failover lan interface LANFailover ethernet3

      O argumento if_name atribui um nome lógico à interface especificada pelo argumento phy_if. O argumento phy_if pode ser o nome da porta física, como Ethernet1, ou uma subinterface criada anteriormente, como Ethernet0/2.3. No ASA 5505 Adaptive Security Appliance, phy_if especifica uma VLAN.

    2. Atribua o endereço IP ativo e de standby ao link de failover:

      hostname(config)#failover interface ip if_name ip_addr
                                     mask standby ip_addr
      
      
      PIX1(config)#failover interface ip LANFailover 10.1.0.1
                             255.255.255.0 standby 10.1.0.2
      

      Nota: Insira este comando exatamente da mesma forma que ele foi executado na unidade primária quando a interface de failover foi configurada.

      O endereço IP de standby deverá estar na mesma sub-rede que o endereço IP ativo. Não é necessário identificar a máscara de sub-rede do endereço de standby.

    3. Habilite a interface.

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      
  3. Defina esta unidade como a unidade secundária:

    hostname(config)#failover lan unit secondary
    

    Nota: Este passo é opcional porque, por padrão, as unidades são designadas como secundárias, a menos que tenham sido configuradas previamente de outra forma.

  4. Habilite o failover:

    hostname(config)#failover
    

    Após o failover ser habilitado, a unidade ativa envia a configuração na memória de execução para a unidade de standby. À medida que a configuração é sincronizada, as mensagens Beginning configuration replication: Sending to mate" e "End Configuration Replication to mate" são mostradas no console da unidade ativa.

  5. Após a conclusão da replicação da configuração em execução, execute o seguinte comando para salvar a configuração na memória Flash:

    hostname(config)#copy running-config startup-config
    
  6. Se necessário, force qualquer grupo de failover ativo na unidade primária a entrar no estado ativo na unidade secundária. Para forçar um grupo de failover a se tornar ativo na unidade secundária, execute o seguinte comando no espaço de execução do sistema da unidade primária:

    hostname#no failover active group group_id
    

    O argumento group_id especifica o grupo que você deseja que se torne ativo na unidade secundária.

Configurações

Este documento utiliza as seguintes configurações:

PIX primário

PIX1(config)#show running-config
: Saved
:
PIX Version 7.2(2) <system>
!
hostname PIX1
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0
!
interface Ethernet0.1
 vlan 2
!
interface Ethernet0.2
 vlan 4
!
interface Ethernet1
!
interface Ethernet1.1
 vlan 3
!
interface Ethernet1.2
 vlan 5
!

!--- Configure "no shutdown" na interface de failover stateful e na
!--- interface de failover de LAN do PIX/ASA primário e secundário.

interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 description LAN Failover Interface
!
interface Ethernet4
 shutdown
!
interface Ethernet5
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
failover
failover lan unit primary

!--- Comando para atribuir a interface para o failover baseado em LAN

failover lan interface LANFailover Ethernet3

!--- Comando para habilitar o failover baseado em LAN

failover lan enable

!--- Configure a chave de criptografia/autenticação

failover key *****
failover link stateful Ethernet2

!--- Configure os IPs ativo e de standby para o failover baseado em LAN

failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2
failover group 1
failover group 2
  secondary
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  config-url flash:/admin.cfg
!

context context1
  allocate-interface Ethernet0.1 inside_context1
  allocate-interface Ethernet1.1 outside_context1
  config-url flash:/context1.cfg
  join-failover-group 1
!

context context2
  allocate-interface Ethernet0.2 inside_context2
  allocate-interface Ethernet1.2 outside_context2
  config-url flash:/context2.cfg
  join-failover-group 2
!

prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Nota: Consulte a seção Configuração do Failover Ativo/Ativo Baseado em Cabo, PIX1 - Configuração de Context1 e PIX1 - Configuração de Context2 para obter informações de contexto em um cenário de failover baseado em LAN.

PIX secundário

PIX2#show running-config

failover
failover lan unit secondary
failover lan interface LANFailover Ethernet3
failover lan enable
failover key *****
failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2

Verificação

Uso do Comando show failover

Esta seção descreve a saída do comando show failover. Em cada unidade, você pode verificar o status do failover com o comando show failover.

PIX primário

PIX1(config-subif)#show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: LANFailover Ethernet3 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 7.2(2), Mate 7.2(2)
Group 1 last failover at: 06:12:45 UTC Apr 16 2007
Group 2 last failover at: 06:12:43 UTC Apr 16 2007

  This host:    Primary
  Group 1       State:          Active
                Active time:    359610 (sec)
  Group 2       State:          Standby Ready
                Active time:    3165 (sec)

                  context1 Interface inside (192.168.1.1): Normal
                  context1 Interface outside (172.16.1.1): Normal
                  context2 Interface inside (192.168.2.2): Normal
                  context2 Interface outside (172.16.2.2): Normal

  Other host:   Secondary
  Group 1       State:          Standby Ready
                Active time:    0 (sec)
  Group 2       State:          Active
                Active time:    3900 (sec)

                  context1 Interface inside (192.168.1.2): Normal
                  context1 Interface outside (172.16.1.2): Normal
                  context2 Interface inside (192.168.2.1): Normal
                  context2 Interface outside (172.16.2.1): Normal

Stateful Failover Logical Update Statistics
        Link : stateful Ethernet2 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         48044      0          48040      1
        sys cmd         48042      0          48040      1
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         2          0          0          0
        Xlate_Timeout   0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       72081
        Xmit Q:         0       1       48044

PIX secundário

PIX1(config)#show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Secondary
Failover LAN Interface: LANFailover Ethernet3 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 7.2(2), Mate 7.2(2)
Group 1 last failover at: 06:12:46 UTC Apr 16 2007
Group 2 last failover at: 06:12:41 UTC Apr 16 2007

  This host:    Secondary
  Group 1       State:          Standby Ready
                Active time:    0 (sec)
  Group 2       State:          Active
                Active time:    3975 (sec)

                  context1 Interface inside (192.168.1.2): Normal
                  context1 Interface outside (172.16.1.2): Normal
                  context2 Interface inside (192.168.2.1): Normal
                  context2 Interface outside (172.16.2.1): Normal

  Other host:   Primary
  Group 1       State:          Active
                Active time:    359685 (sec)
  Group 2       State:          Standby Ready
                Active time:    3165 (sec)

                  context1 Interface inside (192.168.1.1): Normal
                  context1 Interface outside (172.16.1.1): Normal
                  context2 Interface inside (192.168.2.2): Normal
                  context2 Interface outside (172.16.2.2): Normal

Stateful Failover Logical Update Statistics
        Link : stateful Ethernet2 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         940        0          942        2
        sys cmd         940        0          940        2
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          2          0
        Xlate_Timeout   0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       1419
        Xmit Q:         0       1       940

Use o comando show failover state para verificar o estado.

PIX primário

PIX1(config)#show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
    Group 1    Active         None
    Group 2    Standby Ready  None
Other host -   Secondary
    Group 1    Standby Ready  None
    Group 2    Active         None

====Configuration State===
        Sync Done
====Communication State===
        Mac set

Unidade secundária

PIX1(config)#show failover state

               State          Last Failure Reason      Date/Time
This host  -   Secondary
    Group 1    Standby Ready  None
    Group 2    Active         None
Other host -   Primary
    Group 1    Active         None
    Group 2    Standby Ready  None

====Configuration State===
        Sync Done - STANDBY
====Communication State===
        Mac set

Para verificar os endereços IP da unidade de failover, use o comando show failover interface.

Unidade primária

PIX1(config)#show failover interface
        interface stateful Ethernet2
                System IP Address: 10.0.0.1 255.255.255.0
                My IP Address    : 10.0.0.1
                Other IP Address : 10.0.0.2
        interface LANFailover Ethernet3
                System IP Address: 10.1.0.1 255.255.255.0
                My IP Address    : 10.1.0.1
                Other IP Address : 10.1.0.2

Unidade secundária

PIX1(config)#show failover interface
        interface LANFailover Ethernet3
                System IP Address: 10.1.0.1 255.255.255.0
                My IP Address    : 10.1.0.2
                Other IP Address : 10.1.0.1
        interface stateful Ethernet2
                System IP Address: 10.0.0.1 255.255.255.0
                My IP Address    : 10.0.0.2
                Other IP Address : 10.0.0.1

Exibição das Interfaces Monitoradas

Para exibir o status das interfaces monitoradas, no modo de contexto simples, execute o comando show monitor-interface no modo de configuração global. No modo de contexto múltiplo, insira o comando show monitor-interface em um contexto.

PIX primário

PIX1/context1(config)#show monitor-interface
        This host: Secondary - Active
                Interface inside (192.168.1.1): Normal
                Interface outside (172.16.1.1): Normal
        Other host: Secondary - Standby Ready
                Interface inside (192.168.1.2): Normal
                Interface outside (172.16.1.2): Normal

PIX secundário

PIX1/context1(config)#show monitor-interface
        This host: Secondary - Standby Ready
                Interface inside (192.168.1.2): Normal
                Interface outside (172.16.1.2): Normal
        Other host: Secondary - Active
                Interface inside (192.168.1.1): Normal
                Interface outside (172.16.1.1): Normal

Exibição dos Comandos de Failover na Configuração em Execução

Para exibir os comandos de failover na configuração em execução, execute este comando:

hostname(config)#show running-config failover

Todos os comandos de failover são exibidos. Nas unidades em execução no modo de contexto múltiplo, execute o comando show running-config failover no espaço de execução do sistema. Insira o comando show running-config all failover para exibir os comandos de failover na configuração em execução e inclua os comandos para os quais você não alterou o valor padrão.

Testes de Funcionalidade do Failover

Para testar a funcionalidade do failover, execute estes passos:

  1. Verifique se sua unidade ativa ou seu grupo de failover transmite tráfego conforme esperado usando o FTP (por exemplo) para transferir um arquivo entre hosts em interfaces diferentes.

  2. Force um failover para a unidade de standby com este comando:

    • Para o Failover Ativo/Ativo, insira o seguinte comando na unidade em que o grupo de failover que contém a interface conectada aos seus hosts está ativo:

      hostname(config)#no failover active group group_id
      
      
  3. Use o FTP para enviar outro arquivo entre os mesmos dois hosts.

  4. Se o teste falhar, execute o comando show failover command para verificar o status do failover.

  5. Após terminar, você poderá restaurar a unidade ou o grupo de failover para o status ativo com este comando:

    • Para o Failover Ativo/Ativo, insira o seguinte comando na unidade em que o grupo de failover que contém a interface conectada aos seus hosts está ativo:

      hostname(config)#failover active group group_id
      
      

Failover Forçado

Para forçar a unidade de standby a se tornar ativa, execute um destes comandos:

Execute o seguinte comando no espaço de execução do sistema da unidade em que o grupo de failover está no estado de standby:

hostname#failover active group group_id

Opcionalmente, execute o seguinte comando no espaço de execução do sistema da unidade em que o grupo de failover está no estado ativo:

hostname#no failover active group group_id

Executar o seguinte comando no espaço de execução do sistema faz com que todos os grupos de failover se tornem ativos:

hostname#failover active

Failover Desabilitado

Para desabilitar o failover, execute o seguinte comando:

hostname(config)#no failover

Se você desabilitar o failover em um par Ativo/Standby, o estado de ativo ou standby de cada unidade será mantido até ela ser reiniciada. Por exemplo, a unidade de standby permanece no modo de standby para que as duas unidades não comecem a transmitir tráfego. Para tornar a unidade de standby ativa, (mesmo com o failover desabilitado), consulte a seção Failover Forçado.

Se você desabilitar o failover no par Ativo/Ativo, os grupos de failover permanecerão no estado ativo na unidade em que eles estiverem ativos no momento, independentemente de qual unidade eles foram configurados para preferir. O comando no failover pode ser executado no espaço de execução do sistema.

Restauração de uma Unidade com Falha

Para restaurar um grupo de failover Ativo/Ativo com falha para um estado sem falha, execute o seguinte comando:

hostname(config)#failover reset group group_id

A restauração de uma unidade que falhou para um estado sem falha não a torna ativa automaticamente. As unidades ou grupos restaurados permanecem no estado de standby até serem ativadas por um failover (forçado ou natural). Uma exceção é um grupo de failover configurado com o comando preempt. Se previamente ativo, um grupo de failover se torna ativo quando é configurado com o comando preempt e se a unidade em que ele falhou é a unidade preferencial.

Troubleshooting

Quando um failover ocorre, ambos os Security Appliances enviam mensagens de sistema. Esta seção inclui estes tópicos:

  1. Mensagens de Sistema do Failover

  2. Mensagens de Depuração

  3. SNMP

Mensagens de Sistema do Failover

O Security Appliance emite várias mensagens de sistema relacionadas ao failover no nível de prioridade 2, o que indica uma condição crítica. Para exibir estas mensagens, consulte Configuração de Log e Mensagens do Log do Sistema do Cisco Security Appliance para habilitar o log e ver descrições das mensagens de sistema.

Nota: Na troca, o failover encerra de forma lógica e ativa interfaces, o que gera as mensagens 411001 e 411002 do Syslog. Isso é normal.

Mensagens de Depuração

Para ver as mensagens de depuração, execute o comando debug fover. Consulte a Referência de Comandos do Cisco Security Appliance Versão 7.2 para obter mais informações.

Nota: Como a saída de depuração recebe uma prioridade alta no processamento da CPU, ela pode afetar drasticamente o desempenho do sistema. Por isso, use o comando debug fover somente para fazer o troubleshooting de problemas específicos ou em sessões de troubleshooting acompanhadas pela equipe de suporte técnico da Cisco.

SNMP

Para receber interceptações de Syslog de SNMP para o failover, configure o agente SNMP para enviar interceptações SNMP para estações de gerenciamento SNMP, defina um host de Syslog e compile o MIB do Syslog Cisco em sua estação de gerenciamento SNMP. Consulte os comandos snmp-server e logging na Referência de Comandos do Cisco Security Appliance Versão 7.2 para obter mais informações.

Tempo de Poll do Failover

Para especificar os tempos de poll e espera da unidade de failover, execute o comando failover polltime no modo de configuração global.

O comando failover polltime unit msec [time] representa o intervalo de tempo da verificação da existência da unidade de standby com o uso de mensagens de hello de polling.

De forma semelhante, failover holdtime unit msec [time] representa o período de tempo durante o qual uma unidade deve receber uma mensagem de hello no link de failover. Decorrido esse tempo, a unidade peer é declarada como tendo sofrido uma falha.

Consulte failover polltime para obter mais informações.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 91336