Commutateurs : Dispositifs de sécurité de la gamme Cisco PIX 500

Fonctionnement du basculement sur le pare-feu Cisco Secure PIX

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Interactif : Ce document propose une analyse personnalisée de votre périphérique Cisco.


Contenu


Introduction

En utilisant une paire de périphériques PIX identiques (modèle, mémoire, cartes d´interface réseau (NIC), versions du système d’exploitation), la haute disponibilité peut être obtenue sans l’intervention d’un opérateur.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité aux versions de logiciel spécifiques. Tous les modèles de PIX prennent en charge le Basculement excepté 501 et modèles 506E.

Remarque: Ce document ne couvre pas les versions de logiciel 7.0 et plus tard les Dispositifs de sécurité de la gamme Cisco PIX 500. Référez-vous au chapitre de configuration de Basculement du guide de configuration CLI d'appareils de sécurité Cisco, version 7.0.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Un PIX est considéré l'unité « active » tandis que l'autre est l'unité « de réserve ». Pendant que le nom implique, l'unité d'active remplit des fonctions réseau normales tandis que les moniteurs d'équipement de réserve, préparent pour prendre le contrôle si l'unité d'active n'exécute pas sa fonctionnalité. Si la commande de show version ne prouve pas que le Basculement est activé et vous tentative de faire le Basculement, contactez votre équipe de compte Cisco locale afin d'acheter une mise à niveau de licence.

Pour plus d'informations sur la mise à niveau de licence, référez-vous à la mise à jour de clé de licence sur une paire de Basculement.

Les deux unités chacune ont une présence sur le réseau. L'unité d'active utilise l'adresse IP de système et les adresses MAC de l'unité primaire. L'unité primaire est déterminée par l'unité qui a la fin du « primaire » marqué par câble de basculement branché à elle, ou le PIX qui est configuré avec la commande principale d'unité de réseau local de Basculement. Cette commande est introduite dans la version 6.2 OS PIX. L'équipement de réserve utilise l'adresse IP de Basculement et les adresses MAC de l'unité secondaire. Si un basculement se produit, les unités permutent l'adresse IP et les adresses MAC qu'elles les utilisent afin de remplacer la présence de chacun sur le réseau. Cette action est invisible au réseau. L'IP aux relations d'adresse MAC restent exactement le même. Par conséquent, aucune table ARP dans le réseau ne doit chronométrer ou être changée. Aucune autre partie d'équipement réseau ne doit savoir la Redondance ou qu'un basculement s'est produit. Notez que le système IP et les adresses IP de Basculement doivent être sur le même sous-réseau, tellement il y a la possibilité qu'il ne pourrait pas y a un routeur entre les deux unités.

Câble de basculement

Le câble de basculement est le seul matériel supplémentaire exigé pour prendre en charge le Basculement PIX. Dans PIX 6.2 et plus tard, vous pouvez également réaliser le Basculement avec ou sans un câble de basculement. Le câble de basculement est un câble de liaison série modifié de RS-232 avec une configuration de débit de 9600 bauds.

Remarque: Dans la version du logiciel PIX 5.2 (5.1.2.201), la vitesse est changée au baud 115.2 K. En outre, le câble de basculement ne peut pas être étendu.

La transmission de base de Basculement est par le câble de basculement ou par l'interface réseau local qui est configurée avec la commande d'interface_name d'interface réseau local de Basculement dans la version 6.2 et ultérieures OS PIX. La transmission de Basculement par le câble de basculement est message message et doit être fiable. Chaque message envoyé est reconnu (ACKed). Si un message n'est pas ACKed par l'autre PIX en trois secondes, le message est retransmis. Après cinq retransmissions sans ACK (pendant un total de 15 secondes), un état de Basculement est déclenché par le standby PIX.

La transmission typique de Basculement par le câble de basculement inclut :

  • Échange d'adresses MAC

  • Bonjour (une keep-alive)

  • État (Active/Standby)

  • État de la liaison réseau

  • Réplication de configuration

Répliquez la configuration PIX

Les deux unités doivent avoir la configuration exactement identique et doivent exécuter la même version de logiciel. Ceci est facilement accompli, puisque la réplication de configuration se produit au-dessus du câble de basculement, ou de l'interface de RÉSEAU LOCAL configurée avec la commande d'interface_name d'interface de réseau local de Basculement, à partir de l'unité d'active à l'équipement de réserve de ces manières :

  • Quand l'équipement de réserve se termine son amorce initiale, l'unité d'active réplique sa configuration entière vers l'équipement de réserve. Ceci se produit si vous utilisez un câble de basculement parce que vous avez besoin de la configuration initiale sur les unités primaires et secondaires afin de les identifier en tant qu'unités primaires et secondaires. Cette caractéristique a été introduite pour surmonter la longueur et la vitesse de câble série.

  • Pendant que des commandes sont sélectionnées sur l'unité d'active, elles sont envoyées à travers à l'équipement de réserve.

  • Quand vous sélectionnez la commande de réserve d'inscription sur l'unité d'active, vous forcez la configuration entière à la mémoire sur l'équipement de réserve.

La réplication de configuration fait une copie de « mémoire-à-mémoire ». Une fois que ceci se termine, vous devez émettre une commande de write memory sur l'unité d'active afin d'écrire la configuration dans la mémoire flash de l'équipement de réserve. Les deux le « sync a commencé » et des messages console terminés « par sync » sont affichés pendant cette exécution. Les grandes configurations peuvent prendre pendant quelque temps pour transférer. Si un basculement se produit pendant la réplication, le nouveau PIX actif a seulement une configuration partielle. L'unité se redémarre alors pour récupérer la configuration de l'éclair ou de la resync par l'autre unité.

La réplication de configuration se produit seulement à partir de l'unité d'active à l'équipement de réserve. Les modifications apportées à l'équipement de réserve ne passent pas à l'unité d'active.

Surveillance du basculement

Il y a un intervalle entre deux invitations à émettre de Basculement de 15 secondes (après que la version 5.0 il est configurable) pour surveiller l'activité réseau, les transmissions de Basculement, et l'état de l'alimentation. Une panne de l'un de ces paramètres sur l'unité d'active fait prendre l'équipement de réserve le contrôle actif. Toutes les fois qu'une unité est déterminée pour avoir manqué, elle a arrêté ses interfaces réseau.

Les deux unités envoient le Basculement spécial « bonjour » paquets entre eux au-dessus du câble de basculement et tout relie toutes les 15 secondes (exclut ceux qui sont administrativement arrêt). Si l'un ou l'autre d'unité n'entend pas « bonjour » sur une interface pour deux interrogations de vérification consécutive, le PIX met qu'interface de RÉSEAU LOCAL dans le mode de test afin de déterminer où le défaut se trouve. Si un standby PIX ne reçoit pas « bonjour » du câble de basculement pour deux interrogations de vérification consécutive, le standby PIX initie un basculement et déclare que l'autre PIX a manqué. Si le PIX actif n'entend pas « bonjour » les messages, il reste l'active et place l'autre PIX comme manqué.

Une interface réseau est placée dans le mode de test si « bonjour » un paquet n'est pas reçu. Un test d'interface réseau est non intrusif. Ceci signifie que tandis qu'il est en mode de test, il tente toujours de passer le trafic normal. Le processus de test se compose de quatre essais individuels (test d'état NIC, test d'activité réseau, test de Protocole ARP (Address Resolution Protocol) et test de ping) adaptés vers le stimluation du trafic réseau. Si une interface qui est en mode de test peut recevoir le trafic, elle est considérée opérationnelle. S'il peut entendre l'autre trafic réseau, on le suppose que l'erreur doit être avec l'autre unité non capable envoyer « bonjour » le paquet. Ceci a en manquant l'autre unité. Si on le détermine que l'unité de test ne peut pas recevoir le trafic réseau tandis que l'autre peut, l'unité de test échoue elle-même.

En plus de surveiller toutes les interfaces réseau, le Basculement surveille également l'état de l'alimentation de l'autre unité, aussi bien que l'état du câble de basculement lui-même. Le câble de basculement fournit la capacité de détecter si l'autre unité est branchée et mise sous tension. Si le câble est débranché à partir de l'un ou l'autre d'unité, commutant est désactivé. Si une unité d'active perd l'alimentation, l'équipement de réserve succède dans 15 secondes. Une unité dans « a manqué » des attentes d'état 15 secondes, et puis des essais à la transition à l'état « de réserve ». Si la transition déclenche une panne, l'unité échoue de nouveau. Vous pouvez employer la commande de remise de Basculement afin de remettre à l'état initial manuellement le PIX du manqué à l'état de réserve. Si la transition déclenche une panne, l'unité échoue de nouveau. Un PIX dans l'état défaillant ne peut pas commuter dans l'état active.

Si la panne est due à un « lien en baisse » conditionnez sur une interface, un « lien » conditionnent des espaces libres l'état défaillant (par exemple, si une interface est débranchée et plus tard alors branchée).

Remarque:  Référez-vous au Basculement de configuration pour des informations détaillées sur des caractéristiques de Basculement de la version de PIX 7.0.

Échouer de retour

Toutes les fois qu'une panne ou un commutateur se produit, on génère des messages de Syslog qui indiquent ce qui s'est produit. L'échouer de nouveau à l'unité primaire n'est pas forcé. L'échouer de retour n'est pas une activité obligatoire car il n'y a aucune raison de commuter des rôles actifs et de réserve. Par conséquent, quand une unité primaire défaillante est réparée et rapportée sur la ligne, il ne reprend pas automatiquement comme unité d'active. Afin de forcer une unité pour être l'unité d'active, n'utilisez la commande active de Basculement sur l'équipement de réserve ou l'aucune commande active de Basculement sur l'unité d'active. Si le basculement dynamique est utilisé, alors les informations d'état de connexion passent à partir de l'unité d'active à l'équipement de réserve. Autrement, les informations d'état ne sont pas dépistées et des sessions doivent être rétablies par des applications. Ceci signifie que toutes les connexions actives chutent après un basculement. Puisque l'unité nouvellement d'active assume le mêmes IP et adresse MAC que l'unité précédemment d'active, aucune entrée d'ARP ne doit changer ou délai d'attente n'importe où dans le réseau.

Dans EFT 5.0 et plus tard, l'intervalle entre deux invitations à émettre de Basculement de 15 secondes est changé pour être configurable. L'intervalle peut être placé entre 3 à 15 secondes, identifiant la variance en détectant la panne de différentes cartes d'interface.

Test d'interface

En cas « bonjour » des paquets ne sont pas reçus sur une interface, ou des attentes d'une interface « bonjour » plus de 2.5 minutes après que l'autre interface est entrée dans l'état normal, l'interface est placées dans le mode de « test » (si l'interface n'est pas arrêt et état de lien est en hausse). Quand ceci se produit, l'autre unité est au courant par le câble de basculement que l'interface est en mode de test. Tandis qu'une interface est en mode de test, le trafic normal peut circuler, si l'interface fonctionne correctement. Le test est commencé seulement si une condition d'erreurs s'est produite et est donc basée sur l'idée qui « si je suis bien, alors vous devez être manqué. » Le test se compose de quatre tests consécutifs :

  1. Test d'état NIC

    Ce test est un contrôle haut/bas de lien du NIC lui-même. Si une carte d'interface n'est pas branchée à un réseau opérationnel, elle est considérée manquée.

  2. Test d'activité réseau

    Ce test est un test « d'activité réseau reçue ». Tous les comptes d'unité ont reçu des paquets pendant jusqu'à 5 secondes. Si des paquets sont reçus à tout moment pendant cet intervalle, l'interface est considérée les arrêts opérationnels et de test. Si aucun trafic n'est reçu, l'unité réalise un test d'ARP.

  3. Test d'ARP

    Dans le test d'ARP, le cache d'ARP de l'unité est indiqué pour les dix entrées récemment saisies. Puis, un par un, l'unité envoie des demandes d'ARP à ces ordinateurs, afin d'essayer de stimuler le trafic réseau. Après chaque demande, tous les comptes d'unité le trafic reçu pendant jusqu'à 5 secondes. Si le trafic est reçu, l'interface est considérée opérationnelle. Si aucun trafic n'est reçu, une demande d'ARP est envoyée au prochain ordinateur. Si à la fin de la liste aucun trafic n'a été reçu, l'unité réalise le test de ping.

  4. Test de ping

    Afin de réaliser le test de ping, l'unité envoie une demande ping de diffusion. L'unité compte alors tous les paquets reçus pendant jusqu'à 5 secondes. Si des paquets sont reçus à tout moment pendant cet intervalle, l'interface est considérée les arrêts opérationnels et de test. Si aucun trafic n'est reçu, le test recommence de nouveau avec le test d'ARP.

Au début de chaque test, les deux unités effacent le compte de réception pour l'interface. À la conclusion de chaque test, l'unité de test vérifie d'abord pour voir si elle a reçu n'importe quel trafic. Si oui, il se considère opérationnel et échoue l'autre unité. Sinon, il demande l'autre unité s'il a reçu n'importe quel trafic. S'il a, l'unité de test se considère a manqué. Si ni l'une ni l'autre d'unité n'a reçu n'importe quel trafic, le test se déplace au prochain test. Si à tout moment l'unité à l'origine de la demande n'entend pas les résultats du test à partir de l'autre unité, elle considère l'autre unité à manquer juste comme si elle n'a pas entendu « bonjour » le message au-dessus du câble de basculement. Si une unité d'active est manqué déterminé, un basculement se produit. Si un standby est manqué déterminé, on ne lui permet pas de prendre jamais le contrôle actif. Les résultats de ces tests sont envoyés par le Syslog par les équipements de réserve actifs et.

Table de décision matérielle

Sur chaque PIX, le Basculement met à jour une table de décision matérielle (Turbine-HC) des deux périphériques PIX afin de décider quel PIX est le périphérique actif approprié. Quand il y a une modification d'état d'interface NIC, le Basculement vote le pilote de périphérique, la Turbine-HC de gens du pays est mise à jour, et la modification est envoyée à l'autre PIX. Bien que des tables Turbine-HC soient comparées dans chaque cycle de sondage, c'est le deuxième balayage qui peut faire usurper un standby le contrôle de l'active en initiant le basculement.

Basculement fonctionnant dans les environnements commutés

Il y a deux questions à adresser dans les environnements commutés. D'abord, le commutateur doit apprendre qu'une adresse MAC particulière s'est déplacée d'un port à l'autre. Chaque unité (à moins que l'unité est manquée) transmet une gamme de messages de Basculement sur chaque interface avec l'utilisation de son nouveaux MAC et adresses IP. Ceci permet au commutateur pour mettre à jour ses tables MAC internes. Cisco recommande vivement que les clients activent le portfast sur tous les ports de commutateur qui se connectent aux interfaces PIX. En outre, le besoin d'acheminement et de jonction d'être désactivé sur ces ports. Ainsi, si l'interface du PIX va vers le bas pendant le Basculement, le commutateur ne doit pas attendre 30 secondes alors que les transitions de port d'écouter apprendre expédier l'état.

Ce blocage du trafic réseau nous amène à la deuxième question. Si « bonjour » les paquets qui sont envoyés par Basculement n'obtiennent pas expédié, chaque unité pense que quelque chose est mal et commence à tester ses interfaces. Ceci a comme conséquence la panne d'une unité parce que les résultats de test sont « si je suis bien, alors vous devez être manqué. » Afin de venir à bout ce problème, quand un basculement a lieu, les unités écrivent « attendre » l'état. Dans cet état le trafic réseau est libre de traverser l'unité d'active, mais des attentes de Basculement deux « bonjour » messages à recevoir avant qu'il surveille des interfaces de nouveau. Ceci permet au commutateur pour entrer dans un état de blocage sans perturber le Basculement. Une fois que le deuxième « bonjour » message est entendu, le Basculement reprend la surveillance normale de ses interfaces.

Pour la version du logiciel PIX 5.2 et plus tard, quand un périphérique change l'état du standby à l'active, ou de l'active au standby, un ARP gratuit est placé à chaque interface réseau pour rebroadcast le nouveaux IP et adresses MAC.

Basculement dynamique

Sans retenir les informations d'avec état PIX, après un basculement, toutes les connexions existantes sont abandonnées et l'application est exigée pour reinitiate. Dans la release du logiciel PIX 5.0, PIX fournit le basculement dynamique de sorte qu'une connexion existante puisse rester après un basculement.

Afin de prendre en charge le basculement dynamique, une interface de LAN dédié entre les deux périphériques PIX est exigée. La mise à jour logique (LU) est le module logiciel qui fournit le transport aux applications PIX qui prennent en charge le basculement dynamique. La mise à jour d'état se produit de l'active au standby par l'interface de RÉSEAU LOCAL. La mise à jour envoyée d'état au standby PIX est déclenchée par l'application. Le transport LU est comme une UDP, sans la retransmission et aucune applications de blocage pour retarder le traitement de paquets normal. Les paquets de mise à jour d'état sont transmis asynchrone à l'arrière-plan. Néanmoins, le protocole LU est en temps réel, et il donne notification d'erreur et signale les mises à jour manquantes d'état pour surveiller des buts.

La synchronisation d'état initial est exécutée après réplication de configuration. Ceci est fait par la marche par les enregistrements de traduction et de table de connexion. Après ce, une mise à jour d'état peut être déclenchée.

La traduction d'adresses PIX (xlate, statique et dynamique) et les enregistrements de la connexion (conn.) sont des données d'état essentielles, et sont passés à l'équipement de réserve à partir de l'unité d'active avec d'autres informations d'état. Puisque le Basculement ne peut pas prescheduled, la mise à jour d'état pour la connexion est paquet paquet. Ceci signifie que chaque paquet traverse le PIX et change l'état d'une connexion, qui peut déclencher une mise à jour d'état.

Des tables d'état de TCP sont transférées. Cependant, par HTTP par défaut (port TCP 80) n'est pas répliqué. Dans la version 6.0 et ultérieures, vous pouvez employer le HTTP de réplique de Basculement de commande afin d'imposer la réplication d'état du port 80 de TCP. La plupart des tables d'état d'UDP ne sont pas transférées, excepté les ports dynamiquement ouverts qui correspondent aux protocoles multicanaux tels que H.323 et au VoIP. Par conséquent, des résolutions de DN ne sont pas transférées car c'est un port de canal unique.

Il y a des applications qui sont latence sensible, et dans certains cas les temps d'application avant l'ordre de Basculement est terminé. Dans des ces cas, l'application doit rétablir la session.

Remarque: Il n'y a aucune liste complète d'applications qui peuvent être abandonnées en raison du temps où elle prend pour que le standby assure. Une bonne règle empirique est de s'attendre à ce que le standby prenne 10 secondes pour succéder utiliser le basculement dynamique. Sans basculement dynamique il peut prendre à une minute pour rétablir des connexions.

Remarque: La seule mise en garde au sujet du basculement dynamique est ce qui entraîne le Basculement. Si vous avez le Basculement bonjour réglé au maximum de 15 secondes et l'interface interne se détériore, alors le standby ne déclare pas que le primaire a manqué jusqu'à ce qu'il manque au moins deux hellos, 30 secondes. Certains placent les hellos de Basculement au minimum de 3 secondes mais d'autre part le PIX peut Basculement inutilement. Cisco recommande que vous placiez bonjour au maximum de 15 secondes.

Commandes de Basculement

  • [non] Basculement - enables ou Basculement de débronchements.

  • [non] active de Basculement - fait devenir une unité active/standby.

  • IP address #.#.#.# de Basculement - Place l'adresse IP de Basculement.

  • Basculement remis à l'état initial - Efface l'état défaillant des deux unités et redémarre le Basculement.

  • [non] interface de lien de Basculement - spécifie pour lequel reliez pour être utilisé transmettent la mise à jour d'état de l'active au standby PIX dans le basculement dynamique.

  • secondes de balayage de Basculement - Spécifie l'intervalle entre deux invitations à émettre de Basculement (version du logiciel PIX 5.2 et plus tard).

  • unité de réseau local de Basculement primaire | secondaire - Utilisé dans le Basculement à base LAN pour définir primaire/secondaire (version de PIX 6.2 et plus tard).

  • enable réseau local de Basculement - Spécifie le Basculement à base LAN (version de PIX 6.2 et plus tard).

  • lan_if_name d'interface réseau local de Basculement - Le nom de l'interface de pare-feu a dédié au Basculement à base LAN (version de PIX 6.2 et plus tard).

  • key_secret de clé réseau local de Basculement - Enables chiffrement et authentification des messages à base LAN de Basculement entre les Pare-feu PIX utilisant la clé secrète (version de PIX 6.2 et plus tard).

  • stn_mac d'act_mac de mif_name de MAC address de Basculement - Te permet de configurer une adresse MAC virtuelle pour une paire de Basculement de Pare-feu PIX au lieu de contacter l'autre pair pour obtenir l'adresse MAC (version de PIX 6.2 et plus tard).

Sortie témoin de la commande de Basculement d'exposition

Ces exemples supposent que le câble de basculement a été installé et est opérationnel. Ils supposent également que les unités ont été configurées avec une adresse IP de système de 192.168.89.1 et une adresse IP de Basculement de 192.168.89.2.

Exemple : Basculement normal

Cet exemple est la sortie normale de la commande de Basculement d'exposition. Notez que l'adresse IP de chaque unité est affichée. Si aucune adresse IP de Basculement n'a été écrite, elle affiche 0.0.0.0 et la surveillance des interfaces demeure dans « attendre » l'état. Voyez l'exemple : La surveillance de Basculement n'a pas commencé la section pour une explication de « attendre » l'état.

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active 
			Active time: 6885 (sec)
			Interface 0 (192.168.89.1): Normal 
			Interface 1 (192.168.89.1): Normal 
		Other host: Secondary - Standby 
			Active time: 0 (sec)
			Interface 0 (192.168.89.2): Normal 
			Interface 1 (192.168.89.2): Normal 

Exemple : La surveillance de Basculement n'a pas commencé

Ce les exemples explique ce qui se produit quand le Basculement n'a pas commencé à surveiller les interfaces réseau. La fonctionnalité de basculement ne commence pas à surveiller les interfaces réseau avant qu'elle n'ait entendu le second paquet « hello » venant de l'autre unité sur cette interface. Cela prend environ 30 secondes. Si l'unité est branchée à un commutateur réseau qui exécute Spanning Tree Protocol (STP), cela prend deux fois le «  délai de transmission » configuré dans le commutateur (habituellement paramétré à 15 secondes), plus ce délai de 30 secondes. C'est parce qu'au démarrage PIX et juste après un événement de Basculement, le commutateur réseau détecte une boucle de pontage provisoire. Lorsqu'il détecte cette boucle, il arrête de transmettre les paquets sur ces interfaces pendant le « délai de transmission ». Il écrit alors « écoutent » mode pendant du temps supplémentaire « de retard en avant », et pendant ce temps le commutateur écoute des boucles de pontage mais ne pas expédier le trafic (et ne pas expédier de ce fait Basculement « bonjour » paquets). Après deux fois le délai de transfert (30 secondes), le trafic reprend circuler. Chaque PIX reste « en attendant » le mode jusqu'à ce qu'il entende la valeur de 30 secondes « bonjour » des paquets à partir de l'autre unité. Pendant le temps où le PIX passe le trafic, il n'échoue pas l'autre unité basée sur ne pas entendre « bonjour » les paquets. La surveillance se continue sur tous les autres éléments à surveiller (c'est-à-dire l'alimentation, la perte de liaison avec l'interface et le câble de basculement « hello »).

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active 
			Active time: 6930 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)
		Other host: Secondary - Standby 
			Active time: 15 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Normal (Waiting)

Exemple : Défaillance d'une unité

Dans cet exemple, le Basculement détecte une panne. Notez que l'interface 1 de l'unité principale est à l'origine de la défaillance. Les unités retournent en mode « waiting » à cause de la défaillance. L'unité défaillante s'est retirée du réseau (les interfaces sont en baisse) et n'envoie plus « bonjour » des paquets sur le réseau. L'unité d'active demeure dans « attendre » l'état jusqu'à ce que l'unité défaillante soit remplacée et des transmissions de Basculement reprennent.

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Standby (Failed)
			Active time: 7140 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Failed (Waiting)
		Other host: Secondary - Active 
			Active time: 30 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)

Exemple : Basculement dynamique

Cet exemple affiche la sortie de la commande de Basculement d'exposition avec le basculement dynamique activé. Notez que la « fréquence de sondage 4 secondes » est affichée. L'interface réseau 4ème est administrativement arrêt. L'interface réseau FailLink est le lien de basculement dynamique.

Failover On
Cable status: Normal
Reconnect timeout 0:00:00
Poll frequency 4 seconds
        This host: Secondary - Active 
                Active time: 167464 (sec)
                Interface gb (7.7.7.1): Normal 
                Interface 4th (172.1.1.3): Link Down (Shutdown)
                Interface FailLink (8.8.8.1): Normal 
                Interface pix/intf2 (100.2.1.3): Normal 
                Interface outside (100.1.1.3): Normal 
                Interface inside (10.1.1.3): Normal 
        Other host: Primary - Standby 
                Active time: 0 (sec)
                Interface gb (7.7.7.2): Normal 
                Interface 4th (172.1.1.4): Link Down (Shutdown)
                Interface FailLink (8.8.8.2): Normal 
                Interface pix/intf2 (100.2.1.4): Normal 
                Interface outside (100.1.1.4): Normal 
                Interface inside (10.1.1.4): Normal 


Stateful Failover Logical Update Statistics
     Link : FailLink
     Stateful Obj    xmit       xerr       rcv        rerr 
     General        22501          0     34259           0 
     sys cmd        16007          0     33961          13 
     up time            4          0         2           0 
     xlate           5094          0         6           0 
     tcp conn         514          0       290           0 
     udp conn           0          0         0           0 
     ARP tbl          882          0         0           0 
     RIP Tbl            0          0         0           0 
     Logical Update Queue Information
              Cur   Max    Total
     Recv Q:    0     3    34259
     Xmit Q:    0     7    22504

D'autres informations de Basculement sont disponibles dans le guide de configuration pour le Pare-feu PIX.

Si vous avez la sortie d'une commande de Basculement d'exposition de votre périphérique de Cisco, vous pouvez utiliser l'Output Interpreter (clients enregistrés seulement) pour afficher des éventuels problèmes et des difficultés.

Basculement à base LAN

Diagramme à base LAN de Basculement

/image/gif/paws/5220/failover_01.gif

Il est recommandé que vous connectez le PIXes primaire et secondaire à un commutateur dédié. N'utilisez pas les câbles croisés. Dans ce diagramme, un commutateur de Cisco Catalyst 3500 connecte le PIXes primaire et secondaire. Les liens de Basculement et de basculement dynamique de RÉSEAU LOCAL sont dans différents VLAN, VLAN 10 et VLAN 20, respectivement. Le routeur interne et l'extérieur-routeur sont utilisés seulement dans l'intérêt du test de la connectivité.

Configuration initiale minimum sur le PIX primaire

Ce sont les commandes minimum qui doivent être configurées sur le PIX primaire :

Commandes de base

pixfirewall(config)#hostname PIX                                

!--- Naming the PIX is optional.

PIX(config)#nameif ethernet2 fo security20                 

!--- Naming the interface is optional. It is recommended that you
!--- hardcode the speed/duplex.
 
PIX(config)#interface ethernet2 100full                            

!--- Bring up the interface.
 
PIX(config)#ip address fo 192.168.1.1 255.255.255.0  

!--- Assign an IP address.

Commandes de Basculement

PIX(config)#failover ip address fo 192.168.1.2

!--- IP address for the failover link.

PIX(config)#failover lan unit primary                

!--- This unit is primary
. 
PIX(config)#failover lan interface fo                 

!--- The 'fo' interface is used for LAN failover. 

PIX(config)#failover lan key cisco                     

!--- The Pre-shared key.

PIX(config)#failover lan enable                          

!--- Enables failover.

PIX(config)#failover                                 

!--- Start the failover process.

Ce message apparaît sur la console :

LAN-based Failover: trying to contact peer 
LAN-based Failover: Send hello msg and start failover monitoring 

Configuration initiale minimum sur le PIX secondaire

Ce sont les commandes minimum qui doivent être configurées sur le PIX secondaire :

Commandes de base

pixfirewall(config)#hostname PIX 
PIX(config)#nameif ethernet2 fo security20

!--- It is recommended that you hardcode the speed/duplex. 
 
PIX(config)#interface ethernet2 100full
PIX(config)#ip address fo 192.168.1.1 255.255.255.0 

Commandes de Basculement

PIX(config)#failover ip address fo 192.168.1.2 
PIX(config)#failover lan unit secondary                    

!--- This unit is secondary. 

PIX(config)#failover lan interface fo 
PIX(config)#failover lan key cisco 
PIX(config)#failover lan enable 
PIX(config)#failover

!--- This unit is secondary because the "active" keyword is not used.

Après avoir émis ces commandes sur le PIX secondaire, ces messages apparaissent sur la console :

LAN-based Failover: trying to contact peer?? 
LAN-based Failover: Send hello msg and start failover monitoring 

Puis, sur le PIX primaire, ces messages apparaissent sur la console :

LAN-based Failover: Peer is UP
Sync Started
Sync Completed

Remarque: Si vous ne voyez pas ces messages, alors il y a quelque chose mal. Afin de dépanner rapidement la question, activez le suivi d'ICMP met au point sur l'unité secondaire utilisant la commande trace et le ping d'ICMP de débogage à partir de l'unité primaire à l'adresse IP de Basculement.

Remarque: Sur le PIX primaire :

PIX(config)#ping 192.168.1.2 
        192.168.1.2 response received -- 0ms 
        192.168.1.2 response received -- 0ms 
        192.168.1.2 response received -- 0ms 
PIX(config)# 

On Secondary Unit 
PIX(config)#debug icmp trace    

!--- Configure this command before you initiate ping. 

ICMP trace on 
Warning: this may cause problems on busy networks 
PIX(config)# 1: ICMP echo request (len 32 id 9233 seq 0) 
   192.168.1.1 > 192.168.1.2 
2: ICMP echo reply (len 32 id 9233 seq 0) 192.168.1.2 > 192.168.1.1 
3: ICMP echo request (len 32 id 9233 seq 1) 192.168.1.1 > 192.168.1.2 
4: ICMP echo reply (len 32 id 9233 seq 1) 192.168.1.2 > 192.168.1.1 
5: ICMP echo request (len 32 id 9233 seq 2) 192.168.1.1 > 192.168.1.2 
6: ICMP echo reply (len 32 id 9233 seq 2) 192.168.1.2 > 192.168.1.1 

Remarque: Une fois que vous êtes fait, arrêtez ces derniers met au point avec l'aucun mettent au point la commande trace d'ICMP.

Si vous ne pouvez pas cingler avec succès, vérifiez le VLAN et les configurations des ports sur le commutateur intermédiaire. Assurez-vous également que vous utilisez les câbles fiables du cat 5.

PIX primaire sorti :

PIX(config)#show failover lan 

LAN-based Failover is Active 
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal 

PIX(config)#show failover 
Failover On 
Cable status: My side not connected   

!--- The failover serial cable is not used.
  
Reconnect timeout 0:00:00 
Poll frequency 15 seconds 
        This host: Primary - Active 
                Active time: 4335 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface intf3 (0.0.0.0): Link Down (Shutdown) 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 
        Other host: Secondary - Standby 
                Active time: 30 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface intf3 (0.0.0.0): Link Down (Shutdown) 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 

Stateful Failover Logical Update Statistics 
        Link : Unconfigured.

!--- Stateful failover is not configured yet. 

  

LAN-based Failover is Active 
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal

PIX secondaire sorti :

PIX(config)#show failover lan 

LAN-based Failover is Active 
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal 
  

PIX(config)#show failover 
Failover On 
Cable status: My side not connected           

!--- A failover serial cable is not used. 

Reconnect timeout 0:00:00 
Poll frequency 15 seconds 
        This host: Secondary - Standby 
                Active time: 30 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface intf3 (0.0.0.0): Link Down (Shutdown) 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 
        Other host: Primary - Active 
                Active time: 4485 (sec) 
                Interface intf5 (127.0.0.1): Link Down (Shutdown) 
                Interface intf4 (127.0.0.1): Link Down (Shutdown) 
                Interface intf3 (127.0.0.1): Link Down (Shutdown) 
                Interface outside (127.0.0.1): Link Down (Shutdown) 
                Interface inside (127.0.0.1): Link Down (Shutdown) 

Stateful Failover Logical Update Statistics 
        Link : Unconfigured. 

!--- Stateful failover is not configured yet. 

  

LAN-based Failover is Active 
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal 

Configuration restante - Basculement dynamique

Le travail de base sur le PIXes primaire et secondaire est complet.

Dans cet exemple, l'E3 d'interface est utilisé pour diffuser les informations d'état entre les deux unités. Vous pouvez utiliser l'interface E2 (qui est utilisée pour la réplication de vérification de l'intégrité et de configuration) à cet effet aussi bien, si votre PIX n'est pas fortement chargé. Il est recommandé pour utiliser une interface distincte à cet effet.

Sur le PIX primaire, configurez ces commandes :

ip address stateful-fo 172.16.1.1 255.255.255.0 
interface ethernet3 100full
failover ip address stateful-fo 172.16.1.2 
failover link stateful-fo 

Sur le PIX secondaire, configurez ceci :

ip address stateful-fo 172.16.1.2 255.255.255.0
nameif ethernet3 stateful-fo security30
interface ethernet3 100full

Vérifiez l'état.

PIX(config)#show failover 
Failover On 
Cable status: My side not connected 
Reconnect timeout 0:00:00 
Poll frequency 15 seconds 
        This host: Primary - Active 
                Active time: 3945 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface stateful-fo (172.16.1.1): Normal 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 
        Other host: Secondary - Standby 
                Active time: 30 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface stateful-fo (172.16.1.2): Normal 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 

Statistiques logiques de mise à jour de basculement dynamique

 
Link : stateful-fo

!--- Interface stateful-fo is used for stateful failover
. 
Stateful Obj    xmit       xerr       rcv        rerr 
General         40         0          40         0 
sys cmd         40         0          40         0 
up time         0          0          0          0 
xlate           0          0          0          0 
tcp conn        0          0          0          0 
udp conn        0          0          0          0 
ARP tbl         0          0          0          0 
RIP Tbl         0          0          0          0 

Logical Update Queue Information 
                        Cur     Max     Total 
Recv Q:         0       1       41 
Xmit Q:         0       1       41 

LAN-based Failover is Active 
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal 
  

PIX(config)#show failover lan detail 

LAN-based Failover is Active 
This PIX is Primary 
Command Interface is fo 
My Command Interface IP is 192.168.1.1 
Peer Command Interface IP is 192.168.1.2 
My interface status is Normal 
Peer interface status is Normal 
Peer interface down time is 0x0

!--- This is good. 


Total cmd msgs sent: 2579, rcvd: 2241, dropped: 2, retrans: 19, send_err: 0 
Total secure msgs sent: 2760, rcvd: 2383 
bad_signature: 0, bad_authen: 0, bad_hdr: 0, bad_osversion: 0, bad_length: 0 
Total failed retx lck cnt: 0 
Total/Cur/Max of 1245:0:1 msgs on retransQ, 1239 ack msgs 
Cur/Max of 0:21 msgs on txq 
Number of blk allocation failure: 0, cmd failure: 0, Flapping: 0 

Current cmd window: 1, Slow cmd Ifc cnt: 0 
Cmd Link down: 0, down and up: 0, Window Limit: 4301 
Number of fmsg allocation failure: 0 
Cmd Response Time History stat: 
< 100ms:         1237 
100 - 250ms:     0 
250 - 500ms:     0 
500 - 750ms:     0 
750 - 1000ms:    0 
1000 - 2000ms:   7 
2000 - 4000ms:   5 
> 4000ms:        9 
Cmd Response Retry History stat: 
Retry 0 = 1242, 1 = 5, 2 = 5, 3 = 3, 4 = 3 
Failover enable state is 0x1 
Failover state is 0x7d 
Failover peer state is 0x58 
Failover switching state is 0x0 
Failover config syncing is not in progress 
Failover poll cnt is 0 
Failover Fmsg cnt is 0 
Failover OS version is 6.2(0)243 
failover interface 0, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x807696d8 
    act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00d0.b71d.2b4d, stb_mac: 00d0.b780.574f 
failover interface 1, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769738 
    act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00d0.b71a.e6fb, stb_mac: 00e0.b600.8673 
failover interface 2, tst_mystat = 0x0, tst_peerstat = 0x2 
    zcnt = 0, hcnt = 0, my_rcnt = 2271, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769618 
    act_ip: 192.168.1.1, stn_ip:192.168.1.2 
    act_mac: 00e0.b600.a931, stb_mac: 00e0.b600.a931 
LAN-based Failover command link 
failover interface 3, tst_mystat = 0x0, tst_peerstat = 0x0 
    zcnt = 0, hcnt = 0, my_rcnt = 88, peer_rcnt = 54 
    myflag = 0x1, peer_flag=0x1, dchp = 0x80769558 
    act_ip: 172.16.1.1, stn_ip:172.16.1.2 
    act_mac: 00e0.b600.a930, stb_mac: 00e0.b600.8671 
failover interface 4, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769498 
act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00e0.b600.a92f, stb_mac: 00e0.b600.8670 
failover interface 5, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x807693d8 
    act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00e0.b600.a92e, stb_mac: 00d0.b780.564f 

D'autres configurations sur le PIX primaire

C'est une autre configuration pour le PIX primaire.

  1. Codez en dur la vitesse/duplex pour d'autres interfaces. Vous pouvez utiliser le « automatique, » mais il a recommandé que vous codiez en dur la vitesse/duplex.

    interface ethernet0 100full 
    interface ethernet1 100full
    
  2. Assignez les adresses IP à d'autres interfaces.

    ip address outside 1.1.1.1 255.255.255.0 
    ip address inside 10.10.10.1 255.255.255.0
    
  3. Ajoutez la commande d'IP address de Basculement pour toutes les interfaces à l'exclusion de ceux qui sont arrêtées :

    failover ip address outside 1.1.1.2
    failover ip address inside 10.10.10.2
    

D'autres configurations sur le PIX secondaire

C'est comment configurer le PIX secondaire.

  1. Codez en dur la vitesse/duplex pour d'autres interfaces. Vous pouvez utiliser le « automatique, » mais il a recommandé que vous codiez en dur la vitesse/duplex.

    interface ethernet0 100full 
    interface ethernet1 100full
    
  2. Assignez les adresses IP à d'autres interfaces.

    ip address outside 1.1.1.2 255.255.255.0 
    ip address inside 10.10.10.1 255.255.255.0 
    

Ceci est sorti du PIX secondaire après le Basculement se produit.

PIX(config)#show failover 
Failover On
Cable status: My side not connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
        This host: Secondary - Active 
                Active time: 315 (sec)
                Interface intf5 (127.0.0.1): Link Down (Shutdown)
                Interface intf4 (127.0.0.1): Link Down (Shutdown)
                Interface stateful-fo (172.16.1.2): Normal (Waiting)
                Interface outside (1.1.1.2): Normal (Waiting)
                Interface inside (10.10.10.2): Normal (Waiting)
        Other host: Primary - Standby 
                Active time: 8025 (sec)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface stateful-fo (172.16.1.2): Normal (Waiting)
                Interface outside (1.1.1.2): Normal (Waiting)
                Interface inside (10.1.1.2): Link Down (Waiting)

Stateful Failover Logical Update Statistics
        Link : stateful-fo
        Stateful Obj    xmit       xerr       rcv        rerr      
        General         146        0          0          0         
        sys cmd         146        0          0          0         
        up time         0          0          0          0         
        xlate           0          0          0          0         
        tcp conn        0          0          0          0         
        udp conn        0          0          0          0         
        ARP tbl         0          0          0          0         
        RIP Tbl         0          0          0          0         

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       1       146

LAN-based Failover is Active
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal

D'autres commandes de Basculement qui peuvent être configurées sur le PIX :

failover mac address <ifc_name> <act_mac> <stn_mac>
failover poll <seconds>
failover replication http
outside-router#write  terminal

interface FastEthernet3/1 
 ip address 1.1.1.200 255.255.255.0 
 duplex auto 
 speed auto 
  
  
inside-router#write  terminal
interface FastEthernet2/1 
 ip address 10.10.10.200 255.255.255.0 
 duplex auto 
 speed auto 
! 
ip route 0.0.0.0 0.0.0.0 10.10.10.1 

Continuez de configurer l'unité primaire, et la configuration sera répliquée vers l'unité secondaire automatiquement.

Forum aux questions

  1. Comment l'initialisation de démarrage est-elle accomplie entre deux unités ?

    Le par défaut pour le Basculement est éteint (aucun Basculement). Cependant, si le câble de basculement est branché à une unité au temps de démarrage, le Basculement détecte automatiquement le câble et allume le Basculement et place l'état de l'unité à primaire ou à secondaire. C'est vrai au temps de démarrage même si les adresses IP de Basculement ne sont pas configurées correctement.

    Remarque: Si le câble est installé sur une exécution PIX, vous devez émettre le Basculement de début de commande de Basculement. Pour le logiciel PIX plus tard que la release 4.4.3, ceci peut être changé. C'est parce que la réplication de configuration peut accidentellement désactiver le Basculement avec la commande de clear config. Si le câble de basculement n'est pas présent au temps de démarrage, l'unité devient immédiatement l'unité d'active. Cependant, l'unité affiche en tant que « secondaire. »

    Ces discussions supposent que le Basculement est activé et que les deux unités ont le câble de basculement branché. Quand une unité démarre d'abord, elle active le Basculement et les par défaut au standby si l'alimentation est détectée à partir de l'autre unité. L'unité envoie l'état d'exécution (standby) et demande une adresse MAC à partir de l'autre unité. Si aucune unité n'a pris le contrôle actif dans le polltime de Basculement, l'unité commute à l'active.

    Remarque: Pour des versions du logiciel PIX plus tôt que 5.2.1, le polltime de Basculement ont été dur codés à 15 secondes.

    Normalement, l'autre unité répond à la demande ou envoie des messages Hello de Basculement pour chaque balayage de Basculement. Une fois que la transmission de câble de basculement est commencée, les deux unités vérifient état actif/de réserve. L'unité primaire commute à l'active si l'unité secondaire est dans l'état de réserve. Ceci signifie que si l'unité primaire et les les deux secondaires se terminent leurs démarrages dans le premier contrôle de balayage de Basculement de l'un l'autre, l'unité primaire devient active. Si le secondaire est déjà en activité, l'unité primaire demeure standby (supposez que le secondaire a appris l'adresse MAC primaire avant. L'unité primaire ne prend pas automatiquement le contrôle actif. Le Basculement étant activé, ne démarrez pas l'unité secondaire sans la première initialisation la primaire, puisque l'adresse MAC utilisée est à partir de l'unité primaire. Si une unité est initialisée sans câble de basculement, ou il n'y a aucune transmission de Basculement par le câble de basculement, les deux unités peuvent devenir active et le trafic réseau est interrompu.

    Le Basculement étant activé, la réplication de configuration complète se produit à partir de l'unité d'active à l'équipement de réserve quand l'équipement de réserve initialise d'abord. À partir de ce point, des commandes sont passées de l'active au standby pendant qu'elles sont écrites. Afin de forcer une réplication complète de configuration, utilisez la commande de standby d'inscription. La réplication de configuration arrive seulement d'actif à l'équipement de réserve. Des commandes sélectionnées sur l'équipement de réserve ne sont pas répliquées vers l'unité d'active. Un message d'avertissement est affiché quand vous sélectionnez des commandes sur l'équipement de réserve, te disant que les configurations ne sont plus synchronisées.

  2. Que constitue une panne ?

    La détection des pannes est basée en fonction :

    1. État du network interface card (NIC). Si l'état de lien d'un NIC est en baisse, l'unité échoue. « Vers le bas » signifie que le NIC n'est pas branché à un port opérationnel. Si un NIC a été configuré en tant que « vers le bas, » il n'échoue pas ce test.

    2. Communications réseau de Basculement. Les deux unités envoient « bonjour » des paquets entre eux au-dessus de toutes les interfaces réseau. Si aucun « bonjour » paquet n'est entendu en 30 secondes, l'interface attentatoire est mise dans le mode de test afin de déterminer qui est fautif.

    3. Transmission de câble de basculement. Les deux unités envoient « bonjour » des messages entre eux au-dessus du câble de basculement. Si le standby n'entend pas de l'active dans 30 secondes, et l'état du câble est OK, le standby succède en tant qu'active.

      En outre, si des commandes de Basculement envoyées au-dessus du câble de basculement ne sont pas reconnues en 15 secondes, le standby succède en tant qu'active.

    4. Erreurs de câble. Le câble de basculement est câblé de sorte que chaque unité puisse distinguer entre :

      • Une panne d'alimentation l'autre unité.

      • Un câble a débranché cette unité.

      • Un câble a débranché l'autre unité.

      Si le standby le détecte que l'active est mis hors tension (ou recharge/remis à l'état initial), il prend le contrôle actif. Si le câble de basculement est débranché, un Syslog est généré mais aucune commutation ne se produira. Une exception à ceci est à l'amorce, laquelle au point un câble deconnecté force l'unité pour devenir actif. Si les deux unités sont mises sous tension sans câble de basculement installé, elles chacun des deux deviennent active, créant une adresse IP en double avec des adresses de MAC différent, entraînant le conflit sur votre réseau. Le câble de basculement doit être installé pour que le Basculement fonctionne correctement.

  3. Combien de temps prend-il pour détecter une panne avec des valeurs par défaut d'intervalle entre deux invitations à émettre ?

    • Des erreurs de communications réseau sont détectées dans 30 secondes.

    • Des erreurs de transmissions de Basculement sont détectées avec 30 secondes.

    • La panne d'alimentation (et la panne de câble) est détectée dans 15 secondes.

  4. Que se produit quand le Basculement est déclenché ?

    L'un ou l'autre d'unité peut initier un basculement. Quand un commutateur a lieu, les unités chaque modification leurs états aussi bien que l'adresse IP et les adresses MAC qu'ils les utilisent. Du point de vue du réseau, le standby remplace d'une manière transparente l'unité précédemment d'active. Puisque la configuration est déjà complète en état d'alerte, mise à jour ne doit pas être faite. Puisque les deux unités ne partagent pas des états de connexion dynamique. Toutes les connexions actives seront abandonnées quand un Basculement se produit. Les clients doivent rétablir les connexions par l'unité nouvellement d'active (à moins que le basculement dynamique est en service). Pour chaque basculement, la nouvelle unité d'active envoie un Syslog pour la raison.

    Exemple :

    Switching to ACTIVE (cause: no power detected from other side).

    D'autres raisons :

    • « maître normal »

    • « aucun câble de basculement »

    • « aucune alimentation détectée de l'autre côté »

    • « incapable de parler à l'autre côté »

    • la « interface de ligne a manqué sur l'autre côté »

    • « ne pas voir la modification de compte de trafic »

    • « l'autre côté veut que je succède »

    • « échouer signalé par l'autre côté »

    • « contrôle d'état »

    • « placez par le cmd d'ioctl »

  5. Quelle maintenance est exigée ?

    Utilisez la commande d'échouer d'exposition de surveiller des deux l'état unités. Des Syslog sont générés quand les erreurs et les Commutateurs se produisent.

  6. Comment est-ce que je désactive le Basculement ?

    Enlevez le câble de basculement à partir de l'unité et puis configurez-le avec l'aucune commande de Basculement. Le logiciel de Basculement détecte l'absence du câble et arrête automatiquement le Basculement.

  7. Quel est le paquet de Basculement ?

    PIX-5XX-FO-BUN, se composant d'un châssis, du logiciel, et de deux 10/100 de ports. Les clients n'ont pas besoin d'acheter le logiciel assorti pour le PIX 515. Ce paquet inclut le logiciel PIX sans restriction. Cette unité est utilisée strictement pour le Basculement. Veillez à utiliser la commande de write memory sur l'unité de Basculement de sauvegarder les informations. Si la configuration n'est pas enregistrée et l'équipement de réserve est rechargé, il perd la configuration copiée à partir de l'unité primaire.

Informations à rassembler si vous ouvrez un dossier d'assistance technique

Si vous avez besoin d'assistance après avoir suivi les étapes de dépannage ci-dessus et voulez toujours ouvrir une valise avec le Soutien technique, soyez sûr d'inclure les informations suivantes pour dépanner votre Pare-feu PIX.
  • Description du problème et des détails topologiques pertinents
  • Dépannage exécuté avant d'ouvrir le cas
  • Sortie de la commande de show tech-support (des Pare-feu primaires et secondaires)
  • Sortie de la commande show log après l'exécution avec la commande logging buffered debugging , ou les captures de console qui expliquent le problème (si disponible)
Veuillez attacher les données rassemblées à votre cas en format texte décompressé (.txt). Vous pouvez joindre des informations à votre dossier en les téléchargeant à l'aide du Case Query Tool (clients enregistrés uniquement). Si vous ne pouvez pas accéder au Case Query Tool, vous pouvez envoyer les informations en pièce-jointe dans un e-mail à attach@cisco.com avec votre numéro de dossier dans l'objet du message.


Informations connexes


Document ID: 5220