Commutateurs : Commutateurs Cisco Catalyst, s�rie�6500

Dépannage du basculement FWSM

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document explique les procédures que vous pouvez utiliser des résolutions des problèmes avec la configuration de Basculement du module de service de Pare-feu (FWSM).

Ce document fournit également une liste de contrôle des procédures communes pour essayer avant que vous commenciez à dépanner la connexion de Basculement.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur FWSM 2.3 et plus tard.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

La caractéristique de Basculement permet à un standby FWSM pour assurer la fonctionnalité d'un FWSM défectueux. Les deux FWSMs impliqué doivent avoir le même commandant (premier nombre) et (en second lieu version de logiciel mineure de nombre), permis, et contexte de modes de fonctionnement (conduits ou transparents, simple ou plusieurs). Quand l'unité d'active échoue, les modifications d'état au standby, alors que l'équipement de réserve entre dans l'état active. Lorsqu'un basculement s'est produit, les mêmes informations de connexion sont disponibles sur la nouvelle unité active.

Pour information les informations complémentaires, référez-vous à la section configurante de Basculement d'utiliser le Basculement.

Liste de contrôle de Basculement

Cette liste de contrôle vous aide à configurer avec succès le Basculement dans FWSM :

Vérifiez les interfaces

Vérifiez que toutes les interfaces sur le FWSM ont une adresse IP de réserve configurée. Si vous n'avez pas tellement déjà fait, configurez les adresses IP actives et de réserve pour chaque interface (mode conduit), ou pour l'adresse de gestion (mode transparent). L'adresse IP de réserve est utilisée sur le FWSM qui est actuellement l'équipement de réserve. Elle doit se trouver sur le même sous-réseau que l'adresse IP active.

C'est un exemple de configuration :

ip address <active-ip> <netmask> standby <standby-ip> 

Remarque: Ne configurez pas une adresse IP pour le lien de Basculement ou pour le lien d'état (si vous allez utiliser le basculement dynamique).

Remarque: Vous n'avez pas besoin d'identifier le masque de sous-réseau de l'adresse en standby. L'adresse IP et l'adresse MAC du lien de basculement ne changent pas lors du basculement. L'adresse IP active du lien de basculement accompagne toujours l'unité principale, tandis que l'adresse IP en standby accompagne l'unité secondaire.

Permis

Les équipements de réserve actifs et doivent avoir le même permis.

Mode de contexte

Si l'unité primaire est en mode de contexte unique, l'unité secondaire doit également être en mode de contexte unique et en même mode de Pare-feu que l'unité primaire.

Si l'unité primaire est dans le mode de contexte multiple, l'unité secondaire doit également être dans le mode de contexte multiple. Vous n'avez pas besoin de configurer le mode de Pare-feu des contextes de sécurité sur l'unité secondaire parce que les liens de Basculement et d'état résident dans le contexte de système. L'unité secondaire obtient la configuration de contexte de sécurité à partir de l'unité primaire.

Remarque: La commande de mode n'obtient pas répliqué vers l'unité secondaire.

Remarque: La Multidiffusion n'est pas prise en charge dans le mode de contexte multiple des dispositifs de sécurité. Référez-vous au pour en savoir plus de section de fonctions non prises en charge.

Logiciels nécessaires

Les deux unités dans une configuration de Basculement doivent avoir le même commandant (premier nombre) et (en second lieu la version de logiciel mineure de nombre). Cependant, vous pouvez utiliser des différentes versions du logiciel pendant un processus de mise à niveau. Par exemple, vous pouvez améliorer une unité de la version 3.1(1) à la version 3.1(2) et faire rester le Basculement actif. Cisco recommande d'améliorer les deux unités à la même version pour assurer la compatibilité à long terme.

Configuration minimale FWSM pour le basculement dynamique

FWSM primaire

failover lan unit primary
failover lan interface if_name vlan vlan
failover interface ip if_name ip_addr mask standby ip_addr
failover link if_name vlan vlan
failover interface ip if_name ip_addr mask standby ip_addr

FWSM secondaire

failover lan unit secondary
failover lan interface if_name vlan vlan
failover interface ip if_name ip_addr mask standby ip_addr
failover link if_name vlan vlan
failover interface ip if_name ip_addr mask standby ip_addr

Pour plus d'informations sur la façon configurer le Basculement actif et de réserve, référez-vous à configurer le basculement actif/veille.

Configuration minimale de commutateur

  • Les VLAN envoyés au FWSM primaire par le Catalyst qui contient la correspondance primaire de nécessité les VLAN ont envoyé au FWSM secondaire par le Catalyst qui contient le secondaire. (Sortie du passage d'exposition | la commande du Pare-feu i doit être identique.)

    Châssis primaire

    cat6k-7(config)#do sh run | i fire               
    firewall multiple-vlan-interfaces
    firewall module 9 vlan-group 1
    firewall vlan-group 1  3,4,100-106

    Châssis secondaire

    cat6k-7(config)#do sh run | i fire               
    firewall multiple-vlan-interfaces
    firewall module 9 vlan-group 1
    firewall vlan-group 1  3,4,100-106
  • Tous les VLAN qui sont envoyés doivent être présents dans la base de données VLAN et être en activité.

    Afin d'exécuter ceci, émettez ces commandes sur le commutateur dans le mode de configuration :

    vlan 10
    no shut
    

    Afin de vérifier si les VLAN sont dans la base de données et actif, la sortie de la commande show vlan sur les deux châssis doit contenir les VLAN envoyés au FWSM et afficher en tant qu'active.

    Voici est un exemple de sortie :

    Châssis primaire

    cat6k-7(config)#do sh vlan
    
    VLAN Name                             Status    Ports
    ---- -------------------------------- --------- -----
    1    default                               active    
    3    VLAN0003                         active    Fa4/47
    4    VLAN0004                         active    Fa4/48

    Châssis secondaire

    cat6k-7(config)#do sh vlan
    
    VLAN Name                             Status    Ports
    ---- -------------------------------- --------- -----
    1    default                               active    
    3    VLAN0003                         active    Fa4/47
    4    VLAN0004                         active    Fa4/48
  • Assurez-vous que les deux FWSMs ont la Connectivité Layer2 dans chaque VLAN (ils doivent être dans le même sous-réseau).

    Conditions requises transparentes de Pare-feu :

    Afin d'éviter des boucles quand vous utilisez le Basculement en mode transparent, vous devez utiliser le logiciel de commutateur qui prend en charge l'expédition du Bridge Protocol Data Unit (BPDU). En outre, vous devez configurer le FWSM pour permettre des BPDU. Afin de permettre des BPDU par le FWSM, configurez un EtherType ? L'ACL et s'appliquent l'aux deux interfaces.

    Remarque: Par opposition à la plate-forme PIX et ASA, le matériel de deux lames FWSM est toujours identique, il n'y a aucun différent modèle ou configuration de mémoire.

Dépannage

Quand les recharges FWSM, les scénarios expliqués dans cette section causeront le Basculement d'être désactivé.

Le FWSM peut recharger pour des raisons telles que le crash, a remis à l'état initial du châssis, recharge émise de FWSM CLI, ou ce peut juste être un nouveau module qui est inséré ou réinséré dans un emplacement différent ou actionné sauvegardez du châssis.

Non-concordance de version

Les deux unités dans une configuration de Basculement doivent avoir le même commandant (premier nombre) et (en second lieu la version de logiciel mineure de nombre).

Message relatif de Syslog : 105040

Permis incompatibles

Vous pourriez recevoir ce Syslog en raison d'un permis incompatible :

FWSM-1-105045: (Primary) Mate license (number contexts) is not compatible 
with my license (number contexts).
FWSM-1-105001: (Primary) Disabling failover.

Messages relatifs de Syslog : 105045 et 105001

Modes différents (choisissez contre le plusieurs contexte)

Le FWSM primaire et secondaire doit être en même mode (choisissez ou multiple). Par exemple, si le primaire est configuré comme mode unique et secondaire pendant que le mode "MULTIPLE" et le secondaire est rechargé, puis les les deux les modules arrêteront le Basculement.

Primaire dans le mode unique :

%FWSM-1-103001: (Primary) No response from other firewall (reason code = 1).
%FWSM-1-105044: (Primary) Mate operational mode (Multi) is not compatible 
with my mode (Single).
%FWSM-1-105001: (Primary) Disabling failover.

Secondaire en mode "MULTIPLE" (cette lame est rechargée) :

%FWSM-5-111008: User 'Config' executed the 'no snmp-server location' command.
%FWSM-5-111008: User 'Config' executed the 'inspect tftp' command.
%FWSM-5-111008: User 'Config' executed the 'service-policy global_policy global' 
command.
%FWSM-5-111008: User 'Config' executed the 'config-url disk:/admin.cfg' command.
%FWSM-5-111008: User 'Config' executed the 'prompt hostname context' command.
%FWSM-4-411001: Line protocol on Interface LAN, changed state to up
%FWSM-4-411001: Line protocol on Interface LAN, changed state to up
%FWSM-1-105044: (Secondary) Mate operational mode (Single) is not compatible 
with my mode (Multi).
%FWSM-1-105001: (Secondary) Disabling failover.
%FWSM-6-199002: Startup completed.  Beginning operation.
%FWSM-6-605005: Login permitted from 127.0.0.51/15518 to eobc:127.0.0.91/telnet 
for user ""
%FWSM-5-502103: User priv level changed: Uname: enable_15 From: 1 To: 15
%FWSM-5-111008: User 'enable_15' executed the 'changeto context admin' command.

Primaire en mode "MULTIPLE" :

%FWSM-1-105044: (Primary) Mate operational mode (Single) is not compatible 
with my mode (Multi).
%FWSM-1-105001: (Primary) Disabling failover.

Messages relatifs de Syslog : 105044, 103001, 105001

Deux FWSMs deviennent actifs

Quand vous voyez ce message d'erreur dans le log :

fw_create_pc_sw: fw_create_portchannel failed

La raison pour cette erreur est parce que le nombre recommandé de Ports canalisés dans le commutateur a dépassé le maximum (128 est maximum en logiciel release12.2(33)SXH4 de Cisco IOS sur Cat6000/6500). Par conséquent, la limite de l'Interface Descriptor Block (la BID) est épuisée.

Pour cette raison, vous pourriez finir par avec ces deux questions :

  • Quand vous avez deux Commutateurs avec des modules FWSM chacun à agir en tant qu'actif et de réserve, deux modules FWSM deviennent actifs en même temps.

  • Vous ne pouvez pas créer un Port canalisé supplémentaire.

En tant qu'élément de résoudre la question, supprimez les Ports canalisés qui ne sont pas nécessaires et rechargez le FWSMs.

Erreur d'assortiment de VLAN

Problème

Le FWSM reçoit ce message d'erreur : Basculement de « disparité de configuration de VLAN » « a détecté compagnon actif » « sera désactivé ».

OU

La configuration des modules de service de Pare-feu et la configuration correspondante de commutateur semblent être complètes. Cependant, le FWSMs ne peuvent pas au sync. Ce message est reçu sur l'hôte secondaire :

State check detected an Active mate

        Unable to verify vlan configuration with mate.
        Check that mate's failover is enabled

        No Response from Mate

OU

La sortie de la commande de Basculement d'exposition affiche que l'état de Basculement sur le module secondaire est éteint, état de Basculement FWSM dans le Basculement hors fonction (pseudo-standby).

FWSM-secondary(config)#show failover
Failover Off (pseudo-Standby)

Solution

Le problème pourrait être l'affectation de la non-concordance VLAN à travers le Pare-feu (FWSMs et superviseurs). Par exemple, dans la déclaration du VLAN-groupe 1 de Pare-feu, le même nombre de VLAN assignés sur chaque commutateur au Pare-feu peut varier. Ceci pourrait entraîner la question. Si vous assignez le même nombre de VLAN dans le Pare-feu, alors le Basculement fonctionnera.

Afin d'éviter d'obtenir une erreur de disparité de configuration VLAN, la sortie de commande show vlan doit être identique sur des les deux FWSMs. Ce message d'erreur se produit seulement quand vous modifiez ou chargez la configuration de Basculement sur le FWSM. Par exemple, quand un FWSM démarre il charge le startup-config de l'éclair et des tentatives d'initialiser le Basculement. À ce moment, il vérifie pour s'assurer que les deux modules reçoivent les VLAN corrects. Si les VLAN ne s'assortissent pas, le message d'erreur est affiché et des restes de Basculement désactivés.

Remarque: Pour que le Basculement fonctionne, le FWSM exige des configurations identiques et des affectations de port. Il est possible de faire le Basculement d'inter-châssis, mais chaque VLAN assigné au Pare-feu doit être dans le joncteur réseau entre les deux châssis.

FWSM n'inclut aucune interface physique externe. Au lieu de cela, il utilise des interfaces VLAN. Assigner des VLAN au FWSM est semblable à assigner un VLAN à un port de commutateur. Le FWSM inclut une interface interne au module de matrice de commutateur (si présent) ou au bus partagé. Le pour en savoir plus, se rapportent à assigner des VLAN au Module de services de Pare-feu.

Rendez-vous compte que le mappage VLAN peut obtenir modifié pendant une installation fonctionnante FWSM et échouera pendant le prochain démarrage.

Le Basculement est désactivé

Quand vous désactivez le Basculement utilisant l'aucune commande de Basculement, l'état actuel de l'unité est mis à jour (si actif ou de réserve) jusqu'à l'unité obtient rechargé. Ceci est utilisé pour désactiver seulement le Basculement. Afin de changer l'état de l'unité de l'active au standby ou vice versa, vous devez utiliser [non] la commande d'active de Basculement.


Informations connexes


Document ID: 100871