Gerenciamento e automatização de redes : Dispositivos de segurança Cisco PIX 500 Series

Como o Failover Trabalha no Cisco Secure PIX Firewall

23 Março 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (30 Setembro 2008) | Feedback


Interativo: Este documento oferece uma análise personalizada do seu dispositivo Cisco.


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Informações Complementares
Cabo de Failover
Replique a Configuração PIX
Monitoramento de Failover
Failback
Teste de interface
Tabela de Decisão de Hardware
Operando Failover em Ambientes Comutados
Failover de Estado
Comandos de Failover
Exemplo do Comando show failover:
     Exemplo: Failover Normal
     Exemplo: O Monitoramento de Failover Não Começou
     Exemplo: Falha de Unidade
     Exemplo: Failover de Estado
Failover baseado em LAN
     Diagrama de Failover baseado em LAN
     A Configuração Mínima Inicial no PIX Primário
     A Configuração Mínima Inicial no PIX Secundário
     Configuração Restante – Failover de Estado
Perguntas Mais Freqüentes
Informações a Serem Coletadas se um Caso de Suporte Técnico for Aberto
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

O uso de um par de dispositivos PIX idênticos (modelo, memória, placas de interface de rede (NICs), versões de sistemas operacionais), é possível oferecer alta disponibilidade sem intervenção do operador.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Usados

Este documento não está restrito a versões específicas de software. Todos os modelos PIX suportam failover com exceção dos modelos 501 e 506E.

Observação: Este documento não abrange como as versões de software 7.0 e superiores nos Cisco PIX 500 Series Security Appliances. Consulte o capítulo Configurando Failover do Guia de Configuração da CLI do Cisco Security Appliance, Versão 7.0.

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos.

Convenções

Para obter mais informações sobre convenções de documentos, consulte Convenções e Dicas Técnicas da Cisco.

Informações Complementares

One PIX is considered the "Active" unit while the other is the "Standby" unit. Como o nome indica, a unidade ativa executa as funções de rede normais enquanto a unidade de standby monitora, pronta para assumir o controle caso a unidade ativa não possa executar sua funcionalidade. Se o comando show version não mostrar qual failover está habilitado e você tentar fazer failover, entre em contato com a equipe local da conta Cisco para comprar uma atualização de licença.

Cada uma das duas unidades tem uma presença na rede. A unidade ativa usa o endereço IP do sistema e os endereços MAC da unidade Primária. A unidade Primária é determinada pela unidade que está no final do cabo de failover marcado como "Primário" conectado a ela ou o PIX configurado com o comando failover lan unit primary. Este comando é introduzido no in PIX OS versão 6.2. A unidade em espera usa o endereço IP do failover e os endereços MAC da unidade Secundária. Se ocorrer uma comutação completa, as unidades trocam o endereço IP e os endereços MAC usados para substituir a presença uma da outra na rede. Esta ação é invisível para a rede. As relações entre endereço IP e MAC permanecem exatamente as mesmas. Portanto, nenhuma tabela ARP na rede necessita ser expirada ou alterada. Nenhuma outra parte do equipamento da rede precisa saber sobre a redundância ou que ocorreu uma comutação completa. Observe que o IP de sistema e os endereços IP de failover devem estar na mesma sub-rede, portanto, pode haver a possibilidade de que não haja um roteador entre as duas unidades.

Cabo de Failover

O cabo de failover é o único hardware adicional solicitado para suportar o failover PIX. No PIX 6.2 e posterior, você também pode obter um failover com ou sem um cabo de failover. O cabo de failover é um cabo de link serial RS-232 modificado com uma configuração de velocidade de 9600 baud.

Observação: No PIX Software Release 5.2 (5.1.2.201), a velocidade é alterada para 115.2 K baud. Além disso, o cabo de failover não pode ser prolongado.

A comunicação básica de failover é feita pelo cabo de failover ou pela interface LAN configurada com o comando failover lan interface interface_name no PIX OS versão 6.2 e superior. A comunicação de failover pelo cabo de failover é baseada em mensagem e precisa ser confiável. Cada mensagem enviada é confirmada (ACKed). Se uma mensagem não for confirmada por outro PIX em três segundos, a mensagem será retransmitida. Após cinco novas transmissões sem um ACK (para um total de 15 segundos), uma condição de failover é acionada pelo PIX de standby.

A comunicação de failover através do cabo de failover inclui:

  • Intercâmbio de endereços MAC

  • Saudação (uma manutenção de atividade)

  • Estado (Ativo/Standby)

  • Status do Link de Rede

  • Replicação de Configuração

Replique a Configuração PIX

As duas unidades devem ter exatamente a mesma configuração e deve executar a mesma versão de software. Isso é facilmente obtido, desde que a replicação da configuração ocorra no cabo de failover ou a partir de uma interface de LAN configurada com o comando failover lan interface interface_name , da unidade ativa para a unidade em standby dos seguintes modos:

  • Quando a unidade em standby completa sua inicialização inicial, a unidade ativa replica totalmente sua configuração na unidade em standby. Isto ocorre se estiver usando cabo de failover porque a configuração inicial é necessária em ambas as unidades principal e secundária para identificá-las como unidades principal e secundária. Esse recurso foi introduzido para superar a velocidade e o comprimento do cabo serial.

  • À medida que os comandos são inseridos na unidade ativa, eles são enviados pela unidade em standby.

  • Quando você digita o comando write standby na unidade ativa, você faz com que toda a configuração da unidade fique na memória da unidade em standby.

A replicação de configuração faz uma cópia "memória para memória". Após a conclusão, é necessário executar o comando write memory na unidade ativa para gravar a configuração na memória Flash da unidade em standby. As mensagens de console "sync started" e "sync completed" são exibidas durante esta operação. Grandes configurações podem levar algum tempo para serem transferidas. Se a comutação ocorrer durante a replicação, o novo PIX ativo terá apenas uma configuração parcial. A unidade, então, se reinicializa para recuperar a configuração do Flash ou re-sync pela outra unidade.

A replicação da configuração só ocorre da unidade ativa para a unidade de standby. As alterações feitas na unidade em standby não passam para a unidade ativa.

Monitoramento de Failover

Há um intervalo de apuração de failover de 15 segundos (após a versão 5.0 ser configurada) para monitorar a atividade da rede, as comunicações de failover e o status de energia. Uma falha de qualquer um desses parâmetros na unidade ativa fará com que a unidade em espera tome o controle ativo. Sempre que uma falha é detectada na unidade, ela fecha suas interfaces de rede.

As duas unidades enviam pacotes de "saudação" de failover especial para cada uma pelo cabo de failover e por todas as interfaces a cada 15 segundos (excluindo aquelas que são desligadas de forma administrativa). Se cada unidade não ouvir a "saudação" em uma interface em duas verificações de apuração consecutivas, o PIX colocará a interface LAN no modo de teste para determinar onde está a falha. Se um PIX em standby não receber uma "saudação" do cabo de failover em duas verificações de apuração consecutivas, o PIX em standby iniciará uma comutação completa e declarará que o outro PIX falhou. Se um PIX ativo não ouvir as mensagens de "saudação", ele permanece ativo e estabelece o outro PIX como falha.

Uma interface de rede será colocada no modo de teste caso o pacote de saudação não seja recebido. O teste de uma interface rede é não-intrusivo. Isso significa que, enquanto estiver no modo de teste, ela ainda tentará passar tráfego normal. O processo de testes consiste em quatro testes individuais (teste de status da NIC, teste de atividade na rede, teste de ARP [Address Resolution Protocol] e teste de PING) realizados em tráfego estimulado de rede. Se uma interface que esteja no modo de teste puder receber tráfego, ela é considerada operacional. Se for possível ouvir no tráfego da rede, pressupõe-se que o erro deve estar na outra unidade incapaz de enviar o pacote de "saudação". Isso gera uma falha na outra unidade. Se for determinado que a unidade de teste mão puder receber tráfego de rede enquanto a outra pode, a unidade de teste falhará sozinha.

Além de monitorar todas as interfaces de rede, o failover também monitora o status de energia da outra unidade, bem como o status do próprio cabo de failover. O cabo de failover oferece a capacidade de detectar se a outra unidade está conectada e ativa. Se o cabo estiver desconectado de uma das unidades, o switching será desativado. Se uma unidade ativa perder energia, a unidade em standby assumirá dentro de 15 segundos. Uma unidade no estado "falha" aguarda 15 segundos e, em seguida, tenta fazer a transição para o estado "standby". Se a transição dispara uma falha, a unidade falha novamente. Você pode usar o comando failover reset para definir manualmente o PIX do estado com falha para o estado em espera. Se a transição dispara uma falha, a unidade falha novamente. Um PIX no estado com falha não pode comutar para o estado ativo.

Se a falha for decorrente de uma condição "link down" em uma interface, uma condição "link up" elimina o estado de falha (por exemplo, se uma interface está desconectada e, é conectada mais tarde).

Observação:  Consulte Configurando Failover para obter informações detalhadas sobre os recursos de failover do PIX versão 7.0.

Failback

Sempre que ocorrer uma falha ou uma comutação, as mensagens de syslog geradas são as que indicam o que aconteceu. O failback para a unidade primária não está sendo forçado. O failback não é uma atividade forçada, pois não há nenhum motivo para comutar os papéis active (ativo) e standby (em espera). Portanto, quando uma unidade primária com falha é fixada e colocada on-line novamente, ela não volta a ser a unidade ativa automaticamente. Para forçar uma unidade a se tornar ativa, use o comando failover active na unidade em espera ou o comando no failover active na unidade ativa. Se for usado Failover de Estado, a informação do estado de conexão passa da unidade ativa para a unidade em standby. Caso contrário, as informações de estado não serão rastreadas e as sessões deverão ser restabelecidas pelos aplicativos. Isto significa que todas as conexões ativas caem depois de uma comutação completa. Como a unidade recém-ativada considera os mesmos endereços IP e MAC da unidade ativa anterior, nenhuma entrada ARP precisa de alteração ou expiração em nenhum lugar da rede.

No EFT 5.0 e posterior, o intervalo de apuração de failover de 15 segundos é alterado para ser configurável. O intervalo pode ser definido de 3 a 15 segundos, reconhecendo a variação na detecção de falha de diferentes placas de interface.

Teste de interface

No caso de não recebimento dos pacotes de "saudação" em uma interface, ou se uma interface esperar pela "saudação" por mais de 2,5 minutos depois que a outra interface entrar no estado normal, a interface será colocada no modo de "teste" (se a interface não for encerrada e se o status do link estiver ativado). Quando isso ocorre, a outra unidade é informada, pelo cabo de failover, de que a interface está no modo de teste. Enquanto uma interface está no modo de teste, o tráfego normal pode fluir, desde que a interface funcione corretamente. Os testes são iniciados apenas após a ocorrência de uma condição de erro e, portanto, baseiam-se no conceito de que "se eu estou OK, então você deve estar com uma falha." A testagem consiste em quatro testes consecutivos:

  1. Teste de Status da NIC

    Este teste é uma verificação de link ativo/inativo da própria NIC. Se uma placa de interface não estiver em uma rede operacional, ela é considerada como em falha.

  2. Teste de Atividade de Rede

    Este teste é um teste de "atividade de rede recebida". A unidade conta todos os pacotes recebidos por até 5 segundos. Se forem recebidos pacotes a qualquer momento durante este intervalo, ela é considerada operacional e o teste é interrompido. Se não for recebido nenhum tráfego, a unidade executará um teste de ARP.

  3. Teste ARP

    No teste ARP, o cache ARP da unidade é lido nas dez entradas mais recentemente adquiridas. Em seguida, uma de cada vez, a unidade envia solicitações ARP para estas máquinas na tentativa de estimular o tráfego de rede. Depois de cada solicitação, a unidade conta todo o tráfego recebido por até 5 segundos. Se o tráfego é recebido, a interface é considerada operacional. Se nenhum tráfego for recebido, uma requisição ARP será enviada para a próxima máquina. Se no final da lista não for recebido nenhum tráfego, a unidade realizará o Teste de Ping.

  4. Teste de Ping

    Para executar o teste de Ping, a unidade envia uma solicitação de ping de broadcast. Em seguida, a unidade conta todos os pacotes recebidos por até 5 segundos. Se forem recebidos pacotes a qualquer momento durante este intervalo, ela é considerada operacional e o teste é interrompido. Se nenhum tráfego for recebido, o teste começará de novo com o teste ARP.

No começo de cada teste, ambas as unidades limpam a contagem recebida para a interface. Na conclusão de cada teste, a unidade de teste verifica primeiramente se recebeu tráfego. Em caso afirmativo, ela se considera operacional e provoca uma falha na outra unidade. Caso contrário, pergunta à outra unidade se ela recebeu algum tráfego. Em caso afirmativo, a unidade de teste considera que ela mesma falhou. Se nenhuma unidade recebeu algum tráfego, é executado o próximo teste. Se a qualquer momento a unidade não ouvir os resultados do teste da outra unidade, ela considera que a outra unidade falhou porque ela não ouviu a mensagem de "saudação" no cabo de failover. Se uma unidade ativa for determinada como falha, uma comutação completa ocorre. Se for detectado que uma unidade de standby falhou, isto não permitirá que ela assuma o controle ativo. Os resultados destes testes são enviados por meio do syslog pelas unidades ativa e em standby.

Tabela de Decisão de Hardware

Em cada PIX, o failover mantém uma tabela de decisão de hardware (HDT) dos dois dispositivos PIX para decidir qual PIX é o dispositivo ativo apropriado. Quando há uma alteração no estado da interface NIC, o failover busca o driver de dispositivo, o HDT local é atualizado e a alteração é enviada para o outro PIX. Ainda que tabelas HDT sejam comparadas em cada ciclo de apuração, é a segunda apuração que faz com que um standby usurpe controle do ativo pela inicialização da comutação completa.

Operando Failover em Ambientes Comutados

Há dois problemas em lidar com ambientes comutados. Primeiramente, o switch necessita saber que um endereço MAC em particular foi movido de uma porta a outra. Cada unidade (a não ser no caso de falha da unidade) transmite uma série de mensagens de failover em cada interface usando seus novos endereços MAC e IP. Isso permite que o switch atualize suas tabelas internas MAC. A Cisco recomenda que os clientes ativem o portfast em todas as portas do switch que se conectam às interfaces do PIX. Além disso, o entroncamento e a canalização devem ser desativados nessas portas. Assim, se a interface do PIX ficar inativa durante o failover, o comutador não terá que esperar 30 segundos enquanto a porta passa do estado de escuta para aprendizado e para encaminhamento.

Esse bloqueio do tráfego da rede nos leva ao segundo problema. Se os pacotes de " saudação" enviados por failover não forem encaminhados, todas as unidades perceberão que alguma coisa está errada e começarão a testar suas interfaces. Isso resultará na falha de uma unidade porque os resultados do teste foram "se eu estou OK, então você deve estar com uma falha." Para solucionar esse problema, sempre que ocorrer uma comutação completa, as unidades entrarão em um estado de "espera". Neste estado, o tráfego da rede é livre para fluir pela unidade ativa, mas o failover aguarda o recebimento de duas mensagens de saudação antes de monitorar as interfaces novamente. Isso permite que o switch entre em um estado de bloqueio sem interromper o failover. Quando a segunda mensagem de "saudação" for ouvida, o failover retoma o monitoramento normal de suas interfaces.

Para o PIX Software versão 5.2 e posteriores, quando um dispositivo altera o estado em standby para ativo, ou de ativo para standby, um ARP gratuito é definido para cada interface de rede para que ele faça novamente o broadcast dos novos endereços IP e MAC.

Failover de Estado

Sem reter informações completas de PIX, depois de uma comutação completa, todas as conexões existentes são descartadas e é solicitada a reinicialização do aplicativo. No PIX Software versão 5.0, o PIX fornece failover total, de modo que a conexão existente possa aguardar após uma comutação completa.

Para suportar de failover de estado, é necessária uma interface LAN dedicada entre os dois dispositivos PIX. O LU (Logical Update) é o módulo de software que oferece transporte para aplicativos PIX que suportam failover de estado. A atualização do estado ocorre da unidade ativa para a unidade de standby pela interface LAN. A atualização do estado enviada para a unidade em standby é acionada pelo aplicativo. O transporte de LU é semelhante ao de UDP, sem aplicativos de retransmissão e bloqueio para retardar o processamento normal de pacotes. Os pacotes de atualização de estado são transmitidos assincronamente no plano de fundo. No entanto, o protocolo LU é em tempo real e fornece notificações de erro e reporta atualizações de estado ausentes para fins de monitoramento.

A sincronização no estado inicial é executada após a replicação da configuração. Isso é feito por meio do exame dos registros da tabela de conexão e de conversão. Depois disso, uma atualização de estado pode ser disparada.

Os registros de tradução do endereço PIX (xlate, estático e dinâmico) e de conexão conn) são dados de estado essenciais e são passados à unidade em standby pela unidade ativa, juntamente com outras informações de estado. Como o failover não pode ser programado, a atualização do estado para a conexão é baseada nos pacotes. Isso significa que cada pacote passa pelo PIX e altera o estado de uma conexão, o que pode disparar uma atualização de estado.

As tabelas de estado TCP são transferidas. Entretanto, por padrão, o HTTP (porta TCP 80) não é replicado. Na versão 6.0 e posteriores, você pode usar o comando failover replicate http para forçar a replicação de estado de porta TCP 80. A maioria das tabelas de estado UDP não é transferida, com exceção de portas abertas dinamicamente que correspondem a protocolos multicanais tais como H.323 e VoIP. Portanto, as resoluções DNS não são transferidas porque é uma porta de canal único.

Há aplicativos que são sensíveis à latência e, em alguns casos, o tempo limite do aplicativo expira antes da conclusão da seqüência de failover. Nesses casos, o aplicativo deve restabelecer a sessão.

Observação: Não há uma lista abrangente de aplicativos que podem ser descartados devido ao tempo que o standby demora para assumir o controle. Um bom princípio básico é esperar que o standby leve 10 segundos para assumir o controle usando o failover de estado. Sem o failover de estado pode demorar até um minuto para restabelecer as conexões.

Observação: A única advertência sobre o failover de estado é o que causa o failover. Se você tiver failover hello configurado para o máximo de 15 segundos e a interface interna estiver com defeito, então, o standby não declarará que o principal falhou até que ele perca pelo menos duas saudações, 30 segundos. Algumas pessoas definem as saudações de failover para o mínimo de 3 segundos, mas então o PIX pode falhar desnecessariamente. A Cisco recomenda que você configure a saudação para o máximo de 15 segundos.

Comandos de Failover

  • [no] failover - Ativa ou desativa o failover.

  • [no] failover active - Faz com que uma unidade torne-se ativa/em standby.

  • failover ip address #.#.#.# - Configura o endereço IP de failover.

  • failover reset - Limpa o estado de falha de ambas as unidades e reinicia o failover.

  • [no] failover link interface - Especifica qual interface deve ser utilizada para transmitir atualizações de estado do PIX ativo para o de standby no failover de estado.

  • failover poll seconds - Especifica o intervalo de apuração de failover (PIX Software versão 5.2 e posterior).

  • failover lan unit primary | secondary - Utilizado em failover baseado em LAN para definir principal/secundário (PIX versão 6.2 e posterior).

  • failover lan enable - Especifica o failover baseado em LAN (PIX Software versão 6.2 e posterior).

  • failover lan interface lan_if_name - O nome da interface de firewall dedicada a failover baseado em LAN (PIX versão 6.2 e posterior).

  • failover lan key key_secret - Permite critografia e autenticação de mensagens de failover baseado em LAN entre firewalls PIX utilizando a chave secreta (PIX versão 6.2 e posterior).

  • failover mac address mif_name act_mac stn_mac - Permite que você configure um endereço MAC virtual para o Failover do PIX Firewall em vez de contactar o outro peer para obter o endereço MAC (PIX versão 6.2 e posterior).

Exemplo do Comando show failover:

Estes exemplos supõem que o cabo de failover foi instalado e está operacional. Eles também supõem que as unidades foram configuradas com um endereço IP de sistema de 192.168.89.1 e um endereço IP de failover de 192.168.89.2.

Exemplo: Failover Normal

A seguir está um exemplo da saída do comando show failover: Observe que o endereço IP de cada unidade é exibido. Se nenhum endereço IP de failover tiver sido inserido, ele exibirá 0.0.0.0 e o monitoramento das interfaces permanecerá no estado em "espera". Veja o exemplo : Seção Monitoramento de Failover Não Começou para uma explicação do estado de “espera”.

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active
			Active time: 6885 (sec)
			Interface 0 (192.168.89.1): Normal
			Interface 1 (192.168.89.1): Normal
		Other host: Secondary - Standby
			Active time: 0 (sec)
			Interface 0 (192.168.89.2): Normal
			Interface 1 (192.168.89.2): Normal 

Exemplo: O Monitoramento de Failover Não Começou

Esses exemplos mostram o que acontece quando o failover não inicia o monitoramento de interfaces de rede. O failover não inicia o monitoramento das interfaces da rede até que tenha escutado o segundo pacote de saudação da outra unidade nessa interface. Isto leva aproximadamente 30 segundos. Se a unidade estiver conectada a um switch de rede que executa o STP (Spanning Tree Protocol), ela levará duas vezes o tempo de "retardo de encaminhamento" configurado no switch (normalmente 15 segundos), mais esses 30 segundos de retardo. Isso acontece porque na reinicialização do PIX e imediatamente após um evento de failover, o comutador da rede detecta um circuito de ligação temporária. Quando detecta este loop para de encaminhar pacotes nessas interfaces para o tempo de "retardo de encaminhamento". Então, entra no modo "ouvir" por um tempo adicional de "retardo de encaminhamento", durante o qual o switch ouve loops de ponte, mas não encaminha tráfego (e conseqüentemente não encaminha pacotes de “saudação” de failover). Após o tempo de atraso de encaminhamento dobrar (30 segundos), o tráfego volta a fluir. Cada PIX permanece no modo de espera até ouvir 30 segundos de pacotes de saudação da outra unidade. Durante o tempo em que o PIX está transferindo tráfego, não haverá falhas em relação à outra unidade se o PIX não “ouvir” os pacotes de saudação. O monitoramento de todos os outros failovers ainda está ocorrendo (ou seja, energia, perda de link da interface e saudação de failover de cabo).

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active
			Active time: 6930 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)
		Other host: Secondary - Standby
			Active time: 15 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Normal (Waiting)

Exemplo: Falha de Unidade

Nesse exemplo, o failover detectou uma falha. Observe que a Interface 1 na unidade principal é a origem da falha. As unidades estão de volta no modo Em Espera devido à falha. A unidade falha foi removida da rede (as interfaces estão desativadas) e não envia mais pacotes de "saudação" na rede. A unidade ativa permanece em estado de "espera" até que a unidade defeituosa seja substituída e a comunicação de failover seja reiniciada.

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Standby (Failed)
			Active time: 7140 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Failed (Waiting)
		Other host: Secondary - Active
			Active time: 30 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)

Exemplo: Failover de Estado

Este exemplo mostra uma saída do comando show failover com failover de estado habilitado. Observe que a “Freqüência de apuração 4 segundos “é exibida. A quarta interface de rede está desligada de forma administrativa. O FailLink da interface de rede é o link de failover de estado.

Failover On
Cable status: Normal
Reconnect timeout 0:00:00
Poll frequency 4 seconds
        This host: Secondary - Active
                Active time: 167464 (sec)
                Interface gb (7.7.7.1): Normal
                Interface 4th (172.1.1.3): Link Down (Shutdown)
                Interface FailLink (8.8.8.1): Normal
                Interface pix/intf2 (100.2.1.3): Normal
                Interface outside (100.1.1.3): Normal
                Interface inside (10.1.1.3): Normal
        Other host: Primary - Standby
                Active time: 0 (sec)
                Interface gb (7.7.7.2): Normal
                Interface 4th (172.1.1.4): Link Down (Shutdown)
                Interface FailLink (8.8.8.2): Normal
                Interface pix/intf2 (100.2.1.4): Normal
                Interface outside (100.1.1.4): Normal
                Interface inside (10.1.1.4): Normal


Stateful Failover Logical Update Statistics
     Link : FailLink
     Stateful Obj    xmit       xerr       rcv        rerr
     General        22501          0     34259           0
     sys cmd        16007          0     33961          13
     up time            4          0         2           0
     xlate           5094          0         6           0
     tcp conn         514          0       290           0
     udp conn           0          0         0           0
     ARP tbl          882          0         0           0
     RIP Tbl            0          0         0           0
     Logical Update Queue Information
              Cur   Max    Total
     Recv Q:    0     3    34259
     Xmit Q:    0     7    22504

Outras informações sobre failover estão disponíveis no Guia de Configuração do Firewall de PIX.

Se tiver a saída do comando show failover do seu dispositivo Cisco, você poderá usar o Output Interpreter (clientes registrados somente) para exibir problemas potenciais e correções.

Failover baseado em LAN

Diagrama de Failover baseado em LAN

failover_01.gif

É recomendado que conecte os PIXes Principal e Secundário com um switch dedicado. Não use cabos de crossover. Neste diagrama, um switch Cisco Catalyst 3500 conecta os PIXes Principal e Secundário. O failover de LAN e os links de failover de estado estão em VLANs diferentes, VLAN 10 e VLAN 20, respectivamente. Os roteadores interno e externo são utilizados somente para testar a conectividade.

A Configuração Mínima Inicial no PIX Primário

Estes são os comandos mínimos que precisam ser configurados no PIX Principal:

Comandos Básicos

pixfirewall(config)#hostname PIX
            
               !--- Nomear o PIX é opcional.
            
PIX(config)#nameif ethernet2 fo security20
            
               !--- Nomear a interface é opcional. É  recomendado que você
!--- codifique a velocidade/duplex.
            
PIX(config)#interface ethernet2 100full
            
               !--- Ative a interface.
            
PIX(config)#ip address fo 192.168.1.1 255.255.255.0
            
               !--- Atribua um endereço IP.
            
         

Comandos de Failover

PIX(config)#failover ip address fo 192.168.1.2
            
               !--- Endereço IP para o link de failover.
            
PIX(config)#failover lan unit primary
            
               !--- Esta unidade é a principal
            .
PIX(config)#failover lan interface fo 
            
               !--- A interface 'fo' é utilizada para failover de LAN. 
            
PIX(config)#failover lan key cisco 
            
               !--- A Chave pré-compartilhada.
            
PIX(config)#failover lan enable 
            
               !--- Permite failover.
            
PIX(config)#failover
            
               !--- Inicia o processo de failover.
            
         

Esta mensagem aparece no console:

LAN-based Failover: trying to contact peer
LAN-based Failover: Send hello msg and start failover monitoring 

A Configuração Mínima Inicial no PIX Secundário

Estes são os comandos mínimos que precisam ser configurados no PIX Secundário:

Comandos Básicos

pixfirewall(config)#hostname PIX 
PIX(config)#nameif ethernet2 fo security20
            
               !--- É recomendado que você codifique a velocidade/duplex. 
            
PIX(config)#interface ethernet2 100full
PIX(config)#ip address fo 192.168.1.1 255.255.255.0
         

Comandos de Failover

PIX(config)#failover ip address fo 192.168.1.2
PIX(config)#failover lan unit secondary  
            
               !--- Esta unidade é secundária. 
            
PIX(config)#failover lan interface fo 
PIX(config)#failover lan key cisco 
PIX(config)#failover lan enable
PIX(config)#failover
            
               !--- Esta unidade é secundária porque a palavra-chave “ativa” não é utilizada.
            
         

Depois de emitir estes comandos no PIX Secundário, estas mensagens aparecerão no console:

LAN-based Failover: trying to contact peer??
LAN-based Failover: Send hello msg and start failover monitoring 

Em seguida, no PIX Primário, estas mensagens aparecerão no console:

LAN-based Failover: Peer is UP
Sync Started
Sync Completed

Observação: Se você não vir essas mensagens, então há algo errado. Para resolver rapidamente esse problema, ligue o ICMP trace debugs na unidade Secundária usando o comando debug icmp trace e efetue o ping da unidade Primária do endereço IP de failover.

Observação: No PIX Primário:

PIX(config)#ping 192.168.1.2
        192.168.1.2 response received -- 0ms
        192.168.1.2 response received -- 0ms
        192.168.1.2 response received -- 0ms
PIX(config)#

On Secondary Unit
PIX(config)#debug icmp trace
            
               !--- Configure este comando antes de iniciar o ping. 
            
ICMP trace on
Warning: this may cause problems on busy networks
PIX(config)# 1: ICMP echo request (len 32 id 9233 seq 0)
   192.168.1.1 > 192.168.1.2
2: ICMP echo reply (len 32 id 9233 seq 0) 192.168.1.2 > 192.168.1.1
3: ICMP echo request (len 32 id 9233 seq 1) 192.168.1.1 > 192.168.1.2
4: ICMP echo reply (len 32 id 9233 seq 1) 192.168.1.2 > 192.168.1.1
5: ICMP echo request (len 32 id 9233 seq 2) 192.168.1.1 > 192.168.1.2
6: ICMP echo reply (len 32 id 9233 seq 2) 192.168.1.2 > 192.168.1.1 

Observação: Quando terminar, desative essas depurações com o comando no debug icmp trace .

Se você não conseguir efetuar ping com êxito, verifique as configurações de VLAN e de porta no switch intermediário. Também se certifique de que esteja utilizando o cabo Cat 5 confiável.

Saída de PIX principal:

PIX(config)#show failover lan

LAN-based Failover is Active
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal

PIX(config)#show failover
Failover On
Cable status: My side not connected

               !--- O cabo serial de failover não é utilizado.
            
Reconnect timeout 0:00:00
Poll frequency 15 seconds
        This host: Primary - Active
                Active time: 4335 (sec)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface intf3 (0.0.0.0): Link Down (Shutdown)
                Interface outside (0.0.0.0): Link Down (Shutdown)
                Interface inside (0.0.0.0): Link Down (Shutdown)
        Other host: Secondary - Standby
                Active time: 30 (sec)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface intf3 (0.0.0.0): Link Down (Shutdown)
                Interface outside (0.0.0.0): Link Down (Shutdown)
                Interface inside (0.0.0.0): Link Down (Shutdown)

Stateful Failover Logical Update Statistics
        Link : Unconfigured.

               !--- O failover de estado ainda não é configurado. 
            


LAN-based Failover is Active
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal

Saída de PIX secundário:

PIX(config)#show failover lan 

LAN-based Failover is Active
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal


PIX(config)#show failover
Failover On
Cable status: My side not connected

               !--- Um cabo serial de failover não é utilizado. 
            
Reconnect timeout 0:00:00
Poll frequency 15 seconds
        This host: Secondary - Standby
                Active time: 30 (sec)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface intf3 (0.0.0.0): Link Down (Shutdown)
                Interface outside (0.0.0.0): Link Down (Shutdown)
                Interface inside (0.0.0.0): Link Down (Shutdown)
        Other host: Primary - Active
                Active time: 4485 (sec)
                Interface intf5 (127.0.0.1): Link Down (Shutdown)
                Interface intf4 (127.0.0.1): Link Down (Shutdown)
                Interface intf3 (127.0.0.1): Link Down (Shutdown)
                Interface outside (127.0.0.1): Link Down (Shutdown)
                Interface inside (127.0.0.1): Link Down (Shutdown)

Stateful Failover Logical Update Statistics
        Link : Unconfigured.

               !--- O failover de estado ainda não é configurado. 
            


LAN-based Failover is Active
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal 

Configuração Restante – Failover de Estado

O trabalho básico nos PIX Principal e Secundário está completo.

Neste exemplo, a interface E3 é utilizada para carregar informação de estado entre as duas unidades. Você pode usar a interface E2 (que é utilizada para a verificação de integridade e replicação de configuração) para esse fim também, se o PIX não estiver muito carregado. É recomendável utilizar uma interface separada para este fim.

No PIX primário, configure esses comandos:

            ip address stateful-fo 172.16.1.1 255.255.255.0
interface ethernet3 100full
failover ip address stateful-fo 172.16.1.2
failover link stateful-fo 
         

No PIX secundário, configure isso.

            ip address stateful-fo 172.16.1.2 255.255.255.0
nameif ethernet3 stateful-fo security30
interface ethernet3 100full
         

Verifique o status.

PIX(config)#show failover
Failover On
Cable status: My side not connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
        This host: Primary - Active
                Active time: 3945 (sec)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface stateful-fo (172.16.1.1): Normal
                Interface outside (0.0.0.0): Link Down (Shutdown)
                Interface inside (0.0.0.0): Link Down (Shutdown)
        Other host: Secondary - Standby
                Active time: 30 (sec)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface stateful-fo (172.16.1.2): Normal
                Interface outside (0.0.0.0): Link Down (Shutdown)
                Interface inside (0.0.0.0): Link Down (Shutdown) 

Estatísticas de Atualização Lógica do Failover de Estado

Link : stateful-fo

               !--- A interface stateful-fo é usada no failover de estado
            .
Stateful Obj    xmit       xerr       rcv        rerr
General         40         0          40         0
sys cmd         40         0          40         0
up time         0          0          0          0
xlate           0          0          0          0
tcp conn        0          0          0          0
udp conn        0          0          0          0
ARP tbl         0          0          0          0
RIP Tbl         0          0          0          0

Logical Update Queue Information
                        Cur     Max     Total
Recv Q:         0       1       41
Xmit Q:         0       1       41

LAN-based Failover is Active
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal


PIX(config)#show failover lan detail 

LAN-based Failover is Active
This PIX is Primary
Command Interface is fo
My Command Interface IP is 192.168.1.1
Peer Command Interface IP is 192.168.1.2
My interface status is Normal
Peer interface status is Normal
Peer interface down time is 0x0

               !--- Isso é bom. 
            

Total cmd msgs sent: 2579, rcvd: 2241, dropped: 2, retrans: 19, send_err: 0
Total secure msgs sent: 2760, rcvd: 2383
bad_signature: 0, bad_authen: 0, bad_hdr: 0, bad_osversion: 0, bad_length: 0
Total failed retx lck cnt: 0
Total/Cur/Max of 1245:0:1 msgs on retransQ, 1239 ack msgs
Cur/Max of 0:21 msgs on txq
Number of blk allocation failure: 0, cmd failure: 0, Flapping: 0

Current cmd window: 1, Slow cmd Ifc cnt: 0
Cmd Link down: 0, down and up: 0, Window Limit: 4301
Number of fmsg allocation failure: 0
Cmd Response Time History stat:
< 100ms:         1237
100 - 250ms:     0
250 - 500ms:     0
500 - 750ms:     0
750 - 1000ms:    0
1000 - 2000ms:   7
2000 - 4000ms:   5
> 4000ms:        9
Cmd Response Retry History stat:
Retry 0 = 1242, 1 = 5, 2 = 5, 3 = 3, 4 = 3
Failover enable state is 0x1
Failover state is 0x7d
Failover peer state is 0x58
Failover switching state is 0x0
Failover config syncing is not in progress
Failover poll cnt is 0
Failover Fmsg cnt is 0
Failover OS version is 6.2(0)243
failover interface 0, tst_mystat = 0x3, tst_peerstat = 0x3
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0
    myflag = 0x0, peer_flag=0x0, dchp = 0x807696d8
    act_ip: 0.0.0.0, stn_ip:0.0.0.0
    act_mac: 00d0.b71d.2b4d, stb_mac: 00d0.b780.574f
failover interface 1, tst_mystat = 0x3, tst_peerstat = 0x3
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769738
    act_ip: 0.0.0.0, stn_ip:0.0.0.0
    act_mac: 00d0.b71a.e6fb, stb_mac: 00e0.b600.8673
failover interface 2, tst_mystat = 0x0, tst_peerstat = 0x2
    zcnt = 0, hcnt = 0, my_rcnt = 2271, peer_rcnt = 0
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769618
    act_ip: 192.168.1.1, stn_ip:192.168.1.2
    act_mac: 00e0.b600.a931, stb_mac: 00e0.b600.a931
LAN-based Failover command link
failover interface 3, tst_mystat = 0x0, tst_peerstat = 0x0
    zcnt = 0, hcnt = 0, my_rcnt = 88, peer_rcnt = 54
    myflag = 0x1, peer_flag=0x1, dchp = 0x80769558
    act_ip: 172.16.1.1, stn_ip:172.16.1.2
    act_mac: 00e0.b600.a930, stb_mac: 00e0.b600.8671
failover interface 4, tst_mystat = 0x3, tst_peerstat = 0x3
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769498
act_ip: 0.0.0.0, stn_ip:0.0.0.0
    act_mac: 00e0.b600.a92f, stb_mac: 00e0.b600.8670
failover interface 5, tst_mystat = 0x3, tst_peerstat = 0x3
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0
    myflag = 0x0, peer_flag=0x0, dchp = 0x807693d8
    act_ip: 0.0.0.0, stn_ip:0.0.0.0
    act_mac: 00e0.b600.a92e, stb_mac: 00d0.b780.564f 

Outras Configurações no PIX Primário

Esta é uma outra configuração para o PIX primário.

  1. Codifique a velocidade/duplex das outras interfaces. Você pode usar "auto," mas é recomendável que você codifique a velocidade/duplex.

                      interface ethernet0 100full
    interface ethernet1 100full
                   
  2. Atribua um endereço IP às outras interface.

                      ip address outside 1.1.1.1 255.255.255.0
    ip address inside 10.10.10.1 255.255.255.0
                   
  3. Adicione o comando failover ip address para todas as interfaces exceto as que estão encerradas:

                      failover ip address outside 1.1.1.2
    failover ip address inside 10.10.10.2
                   

Outras configurações no PIX Secundário

Isto explica como configurar o PIX secundário.

  1. Codifique a velocidade/duplex das outras interfaces. Você pode usar "auto," mas é recomendável que você codifique a velocidade/duplex.

                      interface ethernet0 100full
    interface ethernet1 100full
                   
  2. Atribua um endereço IP às outras interface.

                      ip address outside 1.1.1.2 255.255.255.0
    ip address inside 10.10.10.1 255.255.255.0 
                   

Esta é a saída do PIX secundário após a ocorrência de um failover.

PIX(config)#show failover 
Failover On
Cable status: My side not connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
        This host: Secondary - Active
                Active time: 315 (sec)
                Interface intf5 (127.0.0.1): Link Down (Shutdown)
                Interface intf4 (127.0.0.1): Link Down (Shutdown)
                Interface stateful-fo (172.16.1.2): Normal (Waiting)
                Interface outside (1.1.1.2): Normal (Waiting)
                Interface inside (10.10.10.2): Normal (Waiting)
        Other host: Primary - Standby
                Active time: 8025 (sec)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface stateful-fo (172.16.1.2): Normal (Waiting)
                Interface outside (1.1.1.2): Normal (Waiting)
                Interface inside (10.1.1.2): Link Down (Waiting)

Stateful Failover Logical Update Statistics
        Link : stateful-fo
        Stateful Obj    xmit       xerr       rcv        rerr
        General         146        0          0          0
        sys cmd         146        0          0          0
        up time         0          0          0          0
        xlate           0          0          0          0
        tcp conn        0          0          0          0
        udp conn        0          0          0          0
        ARP tbl         0          0          0          0
        RIP Tbl         0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       1       146

LAN-based Failover is Active
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal

Outros comandos de failover que podem ser configurados no PIX:

            failover mac address <ifc_name> <act_mac> <stn_mac>
failover poll <seconds>
failover replication http
         
outside-router#write  terminal

interface FastEthernet3/1
 ip address 1.1.1.200 255.255.255.0
 duplex auto
 speed auto


inside-router#write  terminal
interface FastEthernet2/1
 ip address 10.10.10.200 255.255.255.0
 duplex auto
 speed auto
!
ip route 0.0.0.0 0.0.0.0 10.10.10.1 

Continue a configurar a unidade principal e a configuração será aplicada à unidade secundária automaticamente.

Perguntas Mais Freqüentes

  1. Como o começo de inicialização é realizado entre duas unidades?

    O padrão de failover é desativado (sem failover). Entretanto, se o cabo de failover for conectado a uma unidade no momento da inicialização, o failover detecta automaticamente o cabo, ativa o failover e define o status da unidade como Primário ou Secundário. Isso se aplica no momento da inicialização mesmo que os endereços IP de failover não estejam configurados adequadamente.

    Observação: Se o cabo estiver instalado em um PIX em execução, você deve executar o failover de início do comando failover. No software PIX posterior à versão 4.4.3, isso pode ser alterado. Isso ocorre porque a replicação da configuração pode desativar acidentalmente o failover com o comando clear config. Se o cabo de failover não estiver presente no momento da inicialização, a unidade imediatamente se torna a unidade ativa. Entretanto, a unidade aparecerá como "Secundária".

    Estas discussões pressupõem que o failover esteja habilitado e que ambas as unidades tenham o cabo de failover conectado. Quando ocorrer a primeira inicialização de uma unidade, ela ativará o failover e os padrões para standby se for detectada energia da outra unidade. A unidade envia o status de tempo de execução (standby) e solicita um endereço MAC da outra unidade. Se nenhuma unidade tiver assumido o controle ativo no failover polltime, a unidade se tornará ativa.

    Observação: Nas versões anteriores à 5.2.1 do software PIX, o failover polltime foi codificado para 15 segundos.

    Geralmente, a outra unidade responde à solicitação ou envia mensagens de aviso de falha a cada apuração de failover. Assim que a comunicação do cabo de failover for iniciada, as unidades verificarão o status ativo/standby. A unidade principal alterna para ativa se a secundária estiver no estado de standby. Isso significa que se a unidade primária e a secundária completarem suas inicializações na primeira verificação mútua de chamada seletiva de failover, a unidade primária será ativada. Se a unidade secundária já estiver ativa, a unidade primária permanecerá em standby (pressupondo que a unidade secundária obteve o endereço MAC primário antes. A unidade primária não terá controle ativo automaticamente. Com o failover habilitado, não inicialize a unidade secundária sem antes inicializar a unidade primária, pois o endereço MAC utilizado está na unidade primária. Se uma unidade for inicializada sem o cabo de failover, ou se não houver uma comunicação de failover por meio do cabo de failover, ambas as unidades podem ficar ativas e o tráfego da rede será interrompido.

    Com o failover habilitado, a replicação da configuração completa ocorre da unidade ativa para a unidade em standby quando a unidade em standby é inicializada pela primeira vez. Desse ponto em diante, os comandos são passados de ativos para Em espera, conforme inseridos. Para forçar uma replicação de configuração completa, use o comando write standby . A replicação da configuração ocorre apenas da unidade ativa para a standby. Os comandos inseridos na unidade em standby não são replicados para a unidade ativa. Uma mensagem de aviso é exibida quando você digita comandos na unidade de espera, dizendo que as configurações não estão mais sincronizadas.

  2. O que constitui uma falha?

    A detecção de falha é baseada em:

    1. Status da NIC (Placa de Interface de Rede). If the Link Status of a NIC is down, the unit fails. "Down" significa que a NIC não está conectada em uma porta em operação. Se uma NIC tiver sido configurada como "down", ela não falhará nesse teste.

    2. Comunicações de Failover de Rede. The two units send "hello" packets to each other over all network interfaces. Se nenhum pacote de “saudação” for ouvido em 30 segundos, a interface ofensiva é colocada no modo de teste para determinar quem esta com falha.

    3. Comunicação de cabo de failover. As duas unidades enviam mensagens de "saudações" a cada uma por meio do cabo de failover. Se o standby não escutar a partir do ativo dentro de 30 segundos e o status do cabo for OK, o standby assumirá o controle como o ativo.

      Além disso, se o comando failover enviado pelo cabo failover não for reconhecido em 15 segundos, o comando em espera assume como ativo.

    4. Erros de cabo. O cabo de failover é capeado e portanto, cada unidade pode ser diferenciada entre:

      • Uma falha de energia em outra unidade.

      • Um cabo desconectado dessa unidade.

      • Um cabo desconectado de outra unidade.

      Se o standby detectar que o ativo está desligado (ou recarregado/reinicializado), assumirá o controle ativo. Se o cabo de failover não estiver conectado, será gerado um syslog, mas não ocorrerá nenhum switching. Uma exceção para isso é na inicialização, em que um cabo desconectado força a unidade a se tornar ativa. Se ambas as unidades estiverem ligadas em um cabo de failover instalado, elas ficarão ativas, criando um endereço IP duplicado com diferentes endereços MAC, causando conflitos na rede. O cabo de failover deve estar instalado para que o failover funcione corretamente.

  3. How long does it take to detect a failure with default poll interval values?

    • Os erros de comunicação de rede são detectados em 30 segundos.

    • Os erros de failover são detectados com 30 segundos.

    • A falha de energia (e falha de cabo) é detectada em 15 segundos.

  4. O que acontece quando o failover é acionado?

    Qualquer unidade pode iniciar uma comutação completa. Quando ocorre uma comutação , cada uma das unidades altera seu estado, assim como o endereço IP e os endereços MAC utilizados. Do ponto de vista da rede, o standby substitui de forma transparente a unidade previamente Ativa. Como a configuração já está completa no standby, não é necessário fazer atualizações. Uma vez que as duas unidades não compartilham estados de conexão dinâmica. Qualquer conexão ativa será descartada quando ocorrer um failover. Os clientes devem restabelecer as conexões através da unidade recém-ativada (a menos que o failover stateful esteja em uso). Para cada comutação, a nova unidade ativa envia um syslog do motivo.

    Por exemplo:

    Switching to ACTIVE (cause: no power detected from other side).

    Outras razões:

    • "mestre normal"

    • "sem cabo de failover"

    • "sem energia detectada do outro lado"

    • "impossibilitado de falar com o outro lado"

    • "a interface de linha falhou do outro lado"

    • "não vê alteração na contagem do tráfego"

    • "o outro lado quer que eu assuma"

    • "falha reportada pelo outro lado"

    • "verificação de estado"

    • "definido por ioctl cmd"

  5. Qual a manutenção necessária?

    Use o comando show fail para monitorar o status das duas unidades. Syslogs são gerados quando ocorrem erros e switches.

  6. Como desativar o failover?

    Remova o cabo de failover da unidade e configure-a com o comando no failover. O software de failover detecta a ausência do cabo e desativa automaticamente o failover.

  7. O que é o pacote de failover?

    PIX-5XX-FO-BUN, consistindo em um chassi, software e duas portas 10/100. Os clientes não necessitam comprar o software correspondente ao PIX 515. Este conjunto incluiu o software PIX não restrito. Esta unidade é usada restritamente para failover. Utilize o comando write memory na unidade de failover para salvar as informações. Se a configuração não for salva e a unidade em standby não for recarregada, a configuração copiada é perdida da unidade principal.

Informações a Serem Coletadas se um Caso de Suporte Técnico for Aberto

Se você ainda precisar de assistência após seguir as etapas de solução de problemas mencionadas acima e quiser abrir um caso com o Suporte Técnico, certifique-se de incluir as informações a seguir para solucionar problemas do Firewall PIX.

  • Descrição de problema e detalhes relevantes de topologia

  • Solução de problemas executada antes de abrir o caso

  • Saída do comando show tech-support (dos firewalls Primário e Secundário)

  • Saída do comando show log após execução com o comando logging buffered debugging ou captura do console que demonstre o problema (se disponível)

Gentileza anexar os dados coletados sobre seu caso em formato de texto simples, não zipado (.txt). Você pode anexar informações carregando-as com o uso da ferramenta Case Query (clientes registrados somente) . Se você não conseguir acessar a ferramenta Case Query, é possível enviar as informações em um anexo de e-mail para attach@cisco.com com o número do caso na linha de assunto da mensagem.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 5220