Interfaces et modules Cisco : Module de services pare-feu de la gamme Cisco Catalyst 6500

Catalyst 6500 FWSM - Remplacement de l'unité de basculement après un échec matériel

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document explique comment configurer et mettre à niveau un module de services de pare-feu (FWSM) de rechange en cas de panne. Ce document explique également comment configurer le commutateur Catalyst de série 6500 afin de réduire le temps d'arrêt au minimum. Cette procédure s'applique à un FWSM faisant partie d'une paire de basculement et à un FWSM déjà physiquement basculé (consultez le guide d'installation du matériel pour connaître les détails).

Conditions préalables

Conditions requises

Avant que vous remplissiez les procédures dans ce document :

  • Assurez que les propriétés de base de votre commutateur sont configurées.

    Remarque: Ce document ne décrit pas la configuration initiale du FWSM et du commutateur. En revanche, il assume le FWSM et le commutateur avec succès fonctionnés avant une défaillance matérielle.

Composants utilisés

Les informations dans ce document sont basées sur le Module de services pare-feu de la gamme Cisco Catalyst 6500.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Aperçu

Ces étapes vous instruisent en la configuration, la mise à jour, et le remplacement du FWSM. Les étapes sont expliquées dans davantage de détail dans les sections restantes de ce document.

  1. Définissez un VLAN distinct comme Pare-feu VLAN (retirez les vieilles définitions du Pare-feu VLAN) sur le commutateur avec le remplacement FWSM.

  2. Branchez un PC au Catalyst 6000 et assignez le port de commutateur au même VLAN que vous avez juste défini.

  3. La session au FWSM et activent une interface.

  4. Utilisez le PC en tant que serveur TFTP pour télécharger le logiciel. Assurez-vous que vous utilisez la même version du code que le périphérique actif en cours.

  5. Configurez les configurations de base de Basculement sur le FWSM et restaurez le vieux Pare-feu VLAN et l'interface de Basculement (retirez l'interface configurée pour le TFTP). À ce moment, la réplication de configuration se produit et le FWSM devient la sauvegarde.

Améliorez le code FWSM

Afin d'exécuter le Basculement, les deux FWSMs doivent exécuter la même version du code. Dans le cas que le RMA'd FWSM n'est pas livré avec la même version du code que le Pare-feu actif, terminez-vous ces étapes afin d'améliorer.

Téléchargez le logiciel FWSM (clients enregistrés seulement) à votre serveur TFTP.

Activez un nouveau commutateur VLAN qui n'est pas actuellement en service

Procédez comme suit :

  1. Ajoutez le VLAN au commutateur.

    Le VLAN ne peut pas être un VLAN réservé.

    • Utilisez la commande de vlan_number de VLAN d'ajouter le VLAN si vous exécutez le logiciel de Cisco IOSÝ sur le commutateur.

    • Utilisez la commande de vlan_number de set vlan d'ajouter le VLAN si vous exécutez le logiciel de système d'exploitation de Catalyst sur le commutateur.

  2. Assignez le VLAN au port de commutateur auquel vous prévoyez de connecter le PC.

    • Sélectionnez ces commandes afin d'assigner un VLAN à un port, utilisant le logiciel de Cisco IOS :

      router(config)#interface type slot/port
      
      router(config-if)#switchport
      
      router(config-if)#switchport mode access
      
      router(config-if)#switchport access vlan vlan_id
      
    • Sélectionnez cette commande afin d'assigner un VLAN à un port, utilisant le logiciel de système d'exploitation de Catalyst :

      set vlan vlan_number mod/ports
      
      
  3. Copiez les vieilles commandes de Pare-feu sur Notepad afin de les sauvegarder. Ensuite, retirez-et puis remplacez-les en substituant le VLAN défini dans les étapes 1 et 2.

    • Pour le logiciel de Cisco IOS :

      Router(config)#firewall vlan-group firewall_group vlan_range
      
      
      Router(config)#firewall module module_number vlan-group firewall_group
      
      
    • Pour le logiciel de système d'exploitation de Catalyst :

      Console> (enable) set vlan vlan_list firewall-vlan mod_num
      
      
  4. Activez une interface sur le FWSM et l'adresse IP :

    nameif interface interface_name security_lvl
    
    
    ip address interface_name ip_address [mask]
    
    
    interface interface_name
    
    
    fwsm(config-interface) no shutdown
    
  5. Testez la Connectivité entre le FWSM et le PC, utilisant le ping. Utilisez les theis commandent de télécharger l'image du serveur TFTP quand la Connectivité est confirmée. Rechargez le FWSM quand le téléchargement est complet.

    FWSM#copy tftp://server[/path]/filename flash:
    

    Par exemple, sélectionnez cette commande :

    FWSM#copy tftp://209.165.200.226/cisco/c6svc-fwm-k9.2-1-1.bin flash:
    

Définissez le Pare-feu VLAN sur le commutateur

Remplacez les commandes que vous avez retiré dans l'étape 1 de la mise à jour la procédure de code FWSM.

  • Pour le logiciel de Cisco IOS :

    Router(config)#firewall vlan-group firewall_group vlan_range
    
    
    Router(config)#firewall module module_number vlan-group firewall_group
    
    
  • Pour le logiciel de système d'exploitation de Catalyst :

    Console> (enable)set vlan vlan_list firewall-vlan mod_num
    
    

FWSM de base pour la configuration de Basculement

Installez quelques configurations de base FWSM pour le préparer pour la réintroduction dans les paires. Modifiez alors les groupes de Pare-feu de commutateur/Pare-feu VLAN pour l'inclure de nouveau dans les paires de Basculement.

  1. Retirez le vieux nameif et adresse IP définis dans l'étape 4 de l'enable un nouveau commutateur VLAN qui n'est pas procédure actuellement en service.

  2. Définissez le périphérique en tant que primaire ou secondaire.

    FWSM(config)#fail lan unit {primary|secondary}
    
  3. Sélectionnez cette commande dans l'espace d'exécution de système de configurer l'interface VLAN de Basculement pour le mode de contexte multiple :

    primary(config)#failover lan interface interface_name vlan vlan
    
  4. Sélectionnez cette commande de placer l'adresse IP de l'interface de Basculement :

    primary(config)#failover interface ip failover_interface ip_address mask standby 
    ip_address
    
  5. Activez le basculement :

    FWSM(config)#failover
    

    Cette sortie montre un exemple :

    FWSM(config)#failover lan unit secondary
    FWSM(config)#failover interface ip fover 10.1.1.10 255.255.255.0 standby 10.1.1.11
    FWSM(config)#failover LAN Interface fover vlan 50
    FWSM(config)#failover
    

    Cette sortie apparaît :

    Detected an Active mate.  Switching to Standby
           
    Beginning configuration replication from mate.
    This unit is in syncing state. 
    End configuration replication from mate.

Confirmez l'installation et la configuration

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Émettez cette commande show :

fwsm(config)#show failover
Failover On
Failover unit Primary
Failover LAN Interface fover Vlan 150
Unit Poll frequency 15 seconds
Interface Poll frequency 15 seconds
Interface Policy 50%
Monitored Interfaces 249 of 250 maximum
Config sync: active
Last Failover at: 10:58:08 Apr 15 2004
        This host: Primary - Standby 
                Active time: 0(sec)
                admin Interface inside (10.6.8.91): Normal 
                admin Interface outside (70.1.1.2): Normal 
        Other host: Secondary - Active 
                Active time: 2232 (sec)
                admin Interface inside (10.6.8.100): Normal 
                admin Interface outside (70.1.1.3): Normal 

Vérifiez pour voir que cet hôte est en état d'alerte. Vérifiez également pour voir si vous pouvez cingler des périphériques outre de vos interfaces du FWSM. Si vous voulez que le nouveau périphérique devienne actif, n'utilisez l'aucune commande active de Basculement de forcer le Basculement.

Sélectionnez cette commande sur le module actif au Basculement au module de réserve :

primary(config)#no failover active

Sélectionnez cette commande sur le module de réserve de le forcer pour devenir actif :

secondary(config)#failover active

Référez-vous en utilisant le Basculement pour plus de détails en des options et le dépannage de configuration de Basculement.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 65604