安全 : Cisco PIX 500 系列安全设备

PIX/ASA活动/等待故障切换配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

故障切换配置要求两个相同的安全设备通过专用的故障切换链路(还可选择通过有状态故障切换链路)相互连接。将监视活动接口和单元的运行状况,以确定是否符合特定故障切换条件。如果符合这些条件,则发生故障切换。

安全设备支持两种故障切换配置:活动/活动故障切换和活动/备用故障切换。每种故障切换配置都有自身的确定和执行故障切换的方法。使用活动/活动故障切换时,两个单元都能传递网络流量。因而您能够在网络上配置负载均衡。活动/活动故障切换仅适用于在多上下文模式下运行的单元。使用活动/备用故障切换时,只有一个单元传递流量,而另一个单元处于备用等待状态。活动/备用故障切换适用于在单上下文模式或多上下文模式下运行的单元。这两种故障切换配置都支持有状态或无状态(常规)的故障切换。

本文档重点说明如何在 PIX 安全设备中配置活动/备用故障切换。

注意: 在多上下文模式下运行的单元不支持 VPN 故障切换,因为多上下文不支持 VPN。VPN 故障切换仅适用于单个上下文配置中的活动/备用故障切换配置。

Cisco 建议您不要使用管理接口来进行故障切换,对于不断从一个安全设备向另一个安全设备发送连接信息的有状态故障切换,尤其如此。用于执行故障切换的接口至少必须与传递常规流量的接口具有相同的容量,当 ASA 5540 上的接口是千兆位时,管理接口只能使用 FastEthernet。管理接口专用于管理流量,并被指定为 management0/0。不过,您可以使用 management-only 命令将任何接口配置为仅用于管理的接口。对于 Management0/0,您也可以禁用“仅管理”模式,这样,管理接口就可以和其他任何接口一样传递流量。有关 management-only 命令的详细信息,请参阅 Cisco 安全设备命令参考 8.0 版

此配置指南提供了一个示例配置,简要介绍 PIX/ASA 7.x 活动/备用技术。有关此项技术的理论基础的更多详细信息,请参阅 ASA/PIX 命令参考指南

先决条件

要求

硬件要求

故障切换配置中的两个单元必须具有相同的硬件配置。它们的型号、接口的数量和类型,以及 RAM 量都必须相同。

注意: 两个单元的闪存大小不必相同。如果故障切换配置使用闪存大小不同的单元,请确保闪存较小的单元有足够空间容纳软件映像文件和配置文件。否则,从闪存较大的单元向闪存较小的单元进行配置同步就会失败。

软件要求

故障切换配置中的两个单元必须处于操作模式(路由或透明,单上下文或多上下文)。它们必须具有相同的主软件版本(第一个数字)和次软件版本(第二个数字),不过,在升级过程中,可以使用不同的软件版本;例如,可以将一个单元从版本 7.0(1) 升级为版本 7.0(2) 并使故障切换保持为活动状态。建议将两个单元都升级为同一版本以确保长期兼容。

有关升级故障切换对的软件的详细信息,请参阅 Cisco 安全设备命令行配置指南 8.0 版针对故障切换对执行零停机时间升级部分。

许可证要求

在 PIX 安全设备平台上,至少必须有一个单元具有无限制的 (UR) 许可证

注意: 若要获取更多功能和好处,可能需要升级故障切换对的许可证。有关升级的详细信息,请参阅故障切换对上的许可证密钥升级

注意: 对参与故障切换的两个安全设备所许可的功能(例如 SSL VPN 对等体或安全上下文)必须相同。

使用的组件

本文档中的信息基于版本为 7.x 和以上的 PIX 安全设备。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此配置也可用于版本为 7.x 和以上的 ASA 安全设备。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

活动/备用故障切换

本部分介绍活动/备用故障切换,其中包括以下主题:

活动/备用故障切换概述

通过活动/备用故障切换,可以使用备用安全设备代为提供故障单元的功能。活动单元发生故障时,将变为备用状态,同时备用单元变为活动状态。变为活动状态的单元采用故障单元的 IP 地址(如果是透明防火墙,则为管理 IP 地址)和 MAC 地址,然后开始传递流量。现在处于备用状态的单元采用备用 IP 地址和 MAC 地址。因为网络设备检测不到 MAC 和 IP 地址配对的变化,所以网络上的任何位置都不会出现 ARP 条目变化或超时。

注意: 对于多上下文模式,安全设备可对整个单元(包括所有上下文)进行故障切换,但不能对各上下文单独进行故障切换。

主要/辅助状态和活动/备用状态

故障切换对中两个单元之间的主要区别在于:哪个单元处于活动状态,哪个单元处于备用状态,也就是说,要使用哪些 IP 地址以及哪个单元是主要单元并有效传递流量。

这两个单元之间的区别与哪个单元是主要单元(在配置中指定)以及哪个单元是辅助单元有关:

  • 如果两个单元同时启动(并且运行状况相同),则主要单元始终会成为活动单元。

  • 主要单元的 MAC 地址始终会与活动 IP 地址配对。如果辅助单元处于活动状态,但无法通过故障切换链路获得主要 MAC 地址,则不适用此规则。在这种情况下,将使用辅助 MAC 地址。

设备初始化和配置同步

引导故障切换对中的一个或两个设备时,将进行配置同步。配置始终是从活动单元到备用单元进行同步的。备用单元完成初始启动后,将清除其运行配置(与活动单元进行通信所需的故障切换命令除外),并且活动单元会向备用单元发送其完整配置。

活动单元的确定依据如下:

  • 如果某个单元引导并检测到以活动状态运行的对等体,则会成为备用单元。

  • 如果某个单元引导并且未检测到对等体,则会成为活动单元。

  • 如果两个单元同时引导,则主要单元成为活动单元,辅助单元成为备用单元。

注意: 如果辅助单元引导并且未检测到主要单元,则会成为活动单元。它使用自身的 MAC 地址作为活动 IP 地址。主要单元变为可用时,辅助单元会将 MAC 地址更改为主要单元的 MAC 地址,这会导致网络流量中断。若要避免这种情况,请用虚拟 MAC 地址配置故障切换对。有关详细信息,请参阅本文档的配置活动/备用故障切换部分。

开始复制时,活动单元的安全设备控制台将显示消息“Beginning configuration replication:Sending to mate”,复制完成时,安全设备将显示消息“End Configuration Replication to mate”。在复制期间,在活动单元上输入的命令无法正确复制到备用单元,在备用单元上输入的命令可由从活动单元复制而来的配置覆盖。在复制配置的过程中,请勿在故障切换对中的任何单元上输入命令。根据配置的大小,复制过程所需时间从几秒到几分钟不等。

从辅助单元可以看到来自主要单元的复制消息(在辅助单元同步时):

pix> .

        Detected an Active mate
Beginning configuration replication from mate.
End configuration replication from mate.

pix>

在备用单元上,配置仅存在于运行内存中。若要在同步后将配置保存到闪存,请输入以下命令:

  • 对于单上下文模式,在活动单元上输入 copy running-config startup-config 命令。该命令将被复制到备用单元,该单元继而将其配置写入闪存。

  • 对于多上下文模式,从系统执行空间和磁盘上的每个上下文,对活动单元输入 copy running-config startup-config 命令。该命令将被复制到备用单元,该单元继而将其配置写入闪存。从任一单元都可通过网络访问外部服务器上的启动配置上下文,不需要针对每个单元单独保存。或者,也可将上下文从活动单元磁盘复制到外部服务器,然后复制到备用单元磁盘,在重新加载备用单元时,即可使用这些上下文。

命令复制

命令复制的方向始终是从活动单元到备用单元。在活动单元上输入命令时,这些命令通过故障切换链路发送到备用单元。不必为复制这些命令而将活动配置保存到闪存。

注意: 在备用单元上所做的更改不会复制到活动单元。如果在备用单元上输入命令,安全设备将显示以下消息:**** WARNING **** Configuration Replication is NOT performed from Standby unit to Active unit.配置不会再同步。即使输入不影响配置的命令,也会显示此消息。

如果在活动单元上输入 write standby 命令,则备用单元将清除其运行配置(用于与活动单元进行通信的故障切换命令除外),活动单元会向备用单元发送其完整配置。

对于多上下文模式,在系统执行空间中输入 write standby 命令时,将复制所有上下文。如果在某个上下文中输入 write standby 命令,该命令只会复制该上下文的配置。

复制的命令存储在运行配置中。若要将复制的命令保存到备用单元上的闪存,请输入以下命令:

  • 对于单上下文模式,在活动单元上输入 copy running-config startup-config 命令。该命令将被复制到备用单元,该单元继而将其配置写入闪存。

  • 对于多上下文模式,从系统执行空间和磁盘上的每个上下文内,对活动单元输入 copy running-config startup-config 命令。该命令将被复制到备用单元,该单元继而将其配置写入闪存。从任一单元都可通过网络访问外部服务器上的启动配置上下文,不需要针对每个单元单独保存。或者,您也可从活动单元上的磁盘将上下文复制到外部服务器,然后复制到备用单元上的磁盘。

故障切换触发器

如果发生以下事件之一,则单元可能发生故障:

  • 单元存在硬件故障或电源故障。

  • 单元存在软件故障。

  • 太多受监视的接口发生故障。

  • 在活动单元上输入了 no failover active 命令,或在备用单元上输入了 failover active 命令。

故障切换操作

在活动/备用故障切换中,故障切换是对一个单元进行的。即使是在多上下文模式下运行的系统上,也不能对各上下文或一组上下文进行故障切换。

下表列出了每个故障事件所对应的故障切换操作。对于每个故障事件,下表都列出了相应的故障切换策略(执行故障切换或不执行故障切换)、活动单元执行的操作、备用单元执行的操作以及关于故障切换条件和操作的所有特殊说明。下表列出了故障切换行为。

故障事件 策略 活动单元操作 备用单元操作 备注
活动单元发生故障(电源或硬件) 故障切换 n/a 变为活动状态;将活动单元标记为发生故障 在任何受监视接口或故障切换链路上都未接收到 hello 消息。
以前的活动单元恢复 不执行故障切换 变为备用单元 无操作
备用单元发生故障(电源或硬件) 不执行故障切换 将备用单元标记为发生故障 n/a 当备用单元标记为发生故障时,活动单元不会尝试执行故障切换,即使超过接口故障阈值也是如此。
在执行操作期间故障切换链路发生故障 不执行故障切换 将故障切换接口标记为发生故障 将故障切换接口标记为发生故障 必须尽快恢复故障切换链路,因为故障切换链路发生故障时,活动单元无法故障切换到备用单元。
故障切换链路在启动时发生故障 不执行故障切换 将故障切换接口标记为发生故障 变为活动单元 如果故障切换链路在启动时发生故障,则两个单元都变为活动单元。
有状态故障切换链路发生故障 不执行故障切换 无操作 无操作 如果发生故障切换,则状态信息将过时且会话将终止。
活动单元上的接口故障超出阈值 故障切换 将活动单元标记为发生故障 变为活动单元
备用单元上的接口故障超出阈值 不执行故障切换 无操作 将备用单元标记为发生故障 当备用单元标记为发生故障时,活动单元不会尝试执行故障切换,即使超过接口故障阈值也是如此。

常规和有状态故障切换

安全设备支持两种类型的故障切换:常规和有状态。本部分包括以下主题:

常规故障切换

发生故障切换时,所有活动的连接都将中断。客户端需要在新的活动单元接管时重建连接。

有状态故障切换

启用有状态故障切换时,活动单元会向备用单元持续传递每个连接的状态信息。在发生故障切换之后,新的活动单元具有相同的连接信息。受支持的最终用户应用程序可继续进行原来的通信会话,而无需重新连接。

向备用单元传递的状态信息包括:

  • NAT 转换表

  • TCP 连接状态

  • UDP 连接状态

  • ARP 表

  • 第 2 层网桥表(在透明防火墙模式下运行时)

  • HTTP 连接状态(如果启用了 HTTP 复制)

  • ISAKMP 和 IPSec SA 表

  • GTP PDP 连接数据库

启用有状态故障切换时不会传递给备用单元的信息包括:

  • HTTP 连接表(除非启用了 HTTP 复制)

  • 用户身份验证 (uauth) 表

  • 路由表

  • 安全服务模块的状态信息

注意: 如果在活动 Cisco IP SoftPhone 会话中发生故障切换,则呼叫保持为活动状态,因为呼叫会话状态信息会复制到备用单元。呼叫终止时,IP SoftPhone 客户端将丢失与 Call Manager 的连接。发生这种情况的原因是备用单元上没有 CTIQBE 挂起消息的会话信息。如果 IP SoftPhone 客户端在特定时间内未收到 Call Manager 的响应,则会认为无法访问 Call Manager 从而自行注销。

基于电缆的活动/备用故障切换配置(仅限 PIX 安全设备)

网络图

本文档使用以下网络设置:

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/77809-pixfailover-01.gif

注意: 基于电缆的故障切换只适用于 PIX 500 系列安全设备。

本部分提供有关如何配置本文档所述功能的信息。

执行以下步骤,用串行电缆作为故障切换链路来配置活动/备用故障切换。此任务中的命令是在故障切换对中的主要单元上输入的。主要单元是插入了标有“Primary”的电缆端的单元。除非另有说明,否则对于在多上下文模式下运行的设备,请在系统执行空间中输入这些命令。

使用基于电缆的故障切换时,无需引导故障切换对中的辅助单元。让辅助单元保持断电状态,直至接到指示要求通电为止。

若要配置基于电缆的活动/备用故障切换,请完成以下步骤:

  1. 将故障切换电缆连接到 PIX 安全设备。确保将电缆上标有“Primary”的一端连接到用作主要单元的单元,标有“Secondary”的一端连接到另一个单元。

  2. 对主要单元通电。

  3. 为每个数据接口(路由模式)或管理接口(透明模式)配置活动和备用 IP 地址(如果尚未配置)。备用 IP 地址用在当前作为备用单元的安全设备上。它必须与活动 IP 地址处于同一子网中。

    注意: 如果使用专用的有状态故障切换接口,请勿对有状态故障切换链路配置 IP 地址。在后面的步骤中,请使用 failover interface ip 命令配置专用的有状态故障切换接口。

    hostname(config-if)#ip address <active_addr> <netmask> 
                              standby <standby_addr>
    
    

    在本示例中,主要 PIX 的外部接口的配置如下:

    hostname(config-if)#ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
    

    此处,172.16.1.1 用作主要单元外部接口 IP 地址,172.16.1.2 则分配给辅助(备用)单元外部接口。

    注意: 在多上下文模式下,必须在每一个上下文中配置接口地址。使用 changeto context 命令可在上下文之间进行切换。命令提示符将变为 hostname/context(config-if)#,其中 context 是当前上下文的名称。

  4. 若要启用有状态的故障切换,请配置有状态故障切换链路。

    1. 指定要用作有状态故障切换链路的接口

       hostname(config)#failover link if_name phy_if
      
      

      在本示例中,Ethernet2 接口用于交换有状态故障切换链路状态信息。

      hostname(config)#failover link state Ethernet2
      

      nameif 参数对 phy_if 参数指定的接口分配逻辑名称。phy_if 参数可以是物理端口名(如 Ethernet1),也可以是以前创建的子接口(如 Ethernet0/2.3)。此接口不可用于其他用途。

    2. 对有状态故障切换链路分配活动和备用 IP 地址:

      hostname(config)#failover interface ip <if_name> <ip_addr> <mask> 
                             standby <ip_addr>
      
      

      在本示例中,10.0.0.1 用作有状态故障切换链路的活动 IP 地址,10.0.0.2 用作该链路的备用 IP 地址。

      hostname(config)#failover interface ip state 10.0.0.1 255.0.0.0 
                             standby 10.0.0.2
      

      注意: 如果有状态故障切换链路使用数据接口,则跳过此步骤。您已经为接口定义了活动和备用 IP 地址。

      备用 IP 地址必须与活动 IP 地址处于同一子网中。您不需要识别备用 IP 地址子网掩码。

      除非有状态故障切换链路 IP 地址和 MAC 地址使用数据接口,否则它们在发生故障切换时不会更改。活动 IP 地址始终用于主要单元,而备用 IP 地址始终用于辅助单元。

    3. 启用接口:

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      
  5. 启用故障切换:

    hostname(config)#failover
    
  6. 对辅助单元通电,并对该单元启用故障切换(如果还未启用):

    hostname(config)#failover
    

    活动单元将运行内存中的配置发送给备用单元。配置进行同步时,主要控制台上将显示消息“Beginning configuration replication:sending to mate”和“End Configuration Replication to mate”。

    注意: 请首先在主要设备上发出 failover 命令,然后在辅助设备上发出该命令。在辅助设备上发出 failover 命令之后,辅助设备将立即从主要设备获取配置,并将自己设置为备用。主要 ASA 会始终运行,正常传递流量,并将自己标记为活动设备。从这时起,只要活动设备发生故障,备用设备就会成为活动设备。

  7. 将配置保存到主要单元的闪存中。因为在主要单元上输入的命令将复制到辅助单元,所以辅助单元也将其配置保存到闪存中。

    hostname(config)#copy running-config startup-config
    

    注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

配置

本文档使用以下配置:

PIX
pix#show running-config 
 PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!

!--- Configure "no shutdown" in the stateful failover interface 
!--- of both Primary and secondary PIX.


interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list 101 extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
failover
failover link state Ethernet2
failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2
asdm image flash:/asdm-521.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list 101
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
!

!--- Output Suppressed

!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

基于 LAN 的活动/备用故障切换配置

网络图

本文档使用以下网络设置:

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/77809-pixfailover-02.gif

本部分介绍如何用以太网故障切换链路配置活动/备用故障切换。配置基于 LAN 的故障切换时,必须引导辅助设备以识别故障切换链路,然后辅助设备才能从主要设备获得运行配置。

注意: Cisco 建议您在主要单元和辅助单元之间使用一台专用交换机,而不是使用交叉以太网电缆直接链接这些单元。

主要单元配置

执行以下步骤,可在基于 LAN 的活动/备用故障切换配置中配置主要单元。这些步骤提供在主要单元上启用故障切换所需要的最低配置。除非另有说明,否则,对于多上下文模式,所有步骤都在系统执行空间中执行。

若要配置活动/备用故障切换对中的主要单元,请执行以下步骤:

  1. 为每个接口(路由模式)或管理接口(透明模式)配置活动和备用 IP 地址(如果尚未配置)。备用 IP 地址用在当前作为备用单元的安全设备上。它必须与活动 IP 地址处于同一子网中。

    注意: 如果使用专用的有状态故障切换接口,请勿对有状态故障切换链路配置 IP 地址。在后面的步骤中,请使用 failover interface ip 命令配置专用的有状态故障切换接口。

    hostname(config-if)#ip address active_addr netmask 
                             standby standby_addr
    

    在本示例中,主要 PIX 的外部接口的配置如下:

    hostname(config-if)#ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
    

    此处,172.16.1.1 用作主要单元外部接口 IP 地址,172.16.1.2 则分配给辅助(备用)单元外部接口。

    注意: 在多上下文模式下,必须在每一个上下文中配置接口地址。使用 changeto context 命令可在上下文之间进行切换。命令提示符将变为 hostname/context(config-if)#,其中 context 是当前上下文的名称。

  2. (仅限 PIX 安全设备平台)启用基于 LAN 的故障切换。

    hostname(config)#failover lan enable
    
  3. 将该单元指定为主要单元。

    hostname(config)#failover lan unit primary
    
  4. 定义故障切换接口。

    1. 指定要用作故障切换接口的接口。

      hostname(config)#failover lan interface if_name phy_if
      
      

      在本文档中,“failover”(Ethernet3 的接口名称)用作故障切换接口。

      hostname(config)#failover lan interface failover Ethernet3
      
      

      if_name 参数对 phy_if 参数指定的接口分配名称。phy_if 参数可以是物理端口名(如 Ethernet1),也可以是以前创建的子接口(如 Ethernet0/2.3)。

    2. 对故障切换链路分配活动和备用 IP 地址

      hostname(config)#failover interface ip if_name ip_addr mask 
                             standby ip_addr
      
      

      在本文档中,为了配置故障切换链路,10.1.0.1 用于活动单元,10.1.0.2 用于备用单元,“failover”则是 Ethernet3 的接口名称。

      hostname(config)#failover interface ip failover 10.1.0.1 
                             255.255.255.0 standby 10.1.0.2
      

      备用 IP 地址必须与活动 IP 地址处于同一子网中。您不需要识别备用地址子网掩码。

      在发生故障切换时,故障切换链路 IP 地址和 MAC 地址不会更改。故障切换链路的活动 IP 地址始终用于主要单元,而备用 IP 地址始终用于辅助单元。

    3. 启用接口

      hostname(config)#interface phy_if
      
      
      hostname(config-if)#no shutdown
      

      在本示例中,Ethernet3 用于故障切换:

      hostname(config)#interface ethernet3
      
      hostname(config-if)#no shutdown
      
  5. (可选)若要启用有状态故障切换,请配置有状态故障切换链路。

    1. 指定要用作有状态故障切换链路的接口。

      hostname(config)#failover link if_name phy_if
      
      
      

      本示例使用“state”作为 Ethernet2 的接口名称,用于交换故障切换链路状态信息:

      hostname(config)#failover link state Ethernet2
      

      注意: 如果有状态故障切换链路使用故障切换链路或数据接口,则只需提供 if_name 参数。

      if_name 参数对 phy_if 参数指定的接口分配逻辑名称。phy_if 参数可以是物理端口名(如 Ethernet1),也可以是以前创建的子接口(如 Ethernet0/2.3)。此接口不可用于其他用途,但可以选择用作故障切换链路。

    2. 对有状态故障切换链路分配活动和备用 IP 地址。

      注意: 如果有状态故障切换链路使用故障切换链路或数据接口,则跳过此步骤。您已经为接口定义了活动和备用 IP 地址。

      hostname(config)#failover interface ip if_name ip_addr 
                             mask standby ip_addr
      
      

      在本示例中,10.0.0.1 用作有状态故障切换链路的活动 IP 地址,10.0.0.2 用作该链路的备用 IP 地址。

      hostname(config)#failover interface ip state 10.0.0.1 255.0.0.0 
                             standby 10.0.0.2
      

      备用 IP 地址必须与活动 IP 地址处于同一子网中。您不需要识别备用地址子网掩码。

      除非有状态故障切换链路 IP 地址和 MAC 地址使用数据接口,否则它们在发生故障切换时不会更改。活动 IP 地址始终用于主要单元,而备用 IP 地址始终用于辅助单元。

    3. 启用该接口。

      注意: 如果有状态故障切换链路使用故障切换链路或数据接口,则跳过此步骤。您已经启用了该接口。

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      

      注意: 例如,在此方案中,Ethernet2 用于有状态故障切换链路:

      hostname(config)#interface ethernet2
      
      hostname(config-if)#no shutdown
      
  6. 启用故障切换。

    hostname(config)#failover
    

    注意: 请首先在主要设备上发出 failover 命令,然后在辅助设备上发出该命令。在辅助设备上发出 failover 命令之后,辅助设备将立即从主要设备获取配置,并将自己设置为备用。主要 ASA 会始终运行,正常传递流量,并将自己标记为活动设备。从这时起,只要活动设备发生故障,备用设备就会成为活动设备。

  7. 将系统配置保存到闪存。

    hostname(config)#copy running-config startup-config
    

辅助单元配置

在辅助单元上,只需要配置故障切换接口。辅助单元需要这些命令才能开始与主要单元进行通信。在主要单元将其配置发送到辅助单元之后,这两种配置之间的唯一永久性区别就是 failover lan unit 命令,该命令用于识别每个单元是主要单元还是辅助单元。

除非另行通知对于多个上下文模式,所有步骤在系统最多执行空间被执行。

若要配置辅助单元,请执行以下步骤:

  1. (仅限 PIX 安全设备平台)启用基于 LAN 的故障切换。

    hostname(config)#failover lan enable
    
  2. 定义故障切换接口。请使用与主要单元相同的设置。

    1. 指定要用作故障切换接口的接口。

      hostname(config)#failover lan interface if_name phy_if
      
      

      在本文档中,“failover”(Ethernet3 的接口名称)用作 LAN 故障切换接口。

      hostname(config)#failover lan interface failover Ethernet3
      
      

      if_name 参数对 phy_if 参数指定的接口分配名称。

    2. 对故障切换链路分配活动和备用 IP 地址。

      hostname(config)#failover interface ip if_name ip_addr mask 
                             standby ip_addr
      
      

      在本文档中,为了配置故障切换链路,10.1.0.1 用于活动单元,10.1.0.2 用于备用单元,“failover”则是 Ethernet3 的接口名称。

      hostname(config)#failover interface ip failover 10.1.0.1 
                             255.255.255.0 standby 10.1.0.2
      

      注意: 请完全按照您在主要单元上配置故障切换接口时所输入的内容来输入此命令。

    3. 启用该接口。

      hostname(config)#interface phy_if
      
      
      hostname(config-if)#no shutdown
      
      

      例如,在此方案中,Ethernet3 用于故障切换。

      hostname(config)#interface ethernet3
      
      hostname(config-if)#no shutdown
      
  3. (可选)将此单元指定为辅助单元。

    hostname(config)#failover lan unit secondary
    

    注意: 此步骤是可选的,原因是:除非此前已进行了配置,否则在默认情况下,单元将指定为辅助单元。

  4. 启用故障切换。

    hostname(config)#failover
    

    注意: 在启用故障切换之后,活动单元将运行内存中的配置发送到备用单元。进行配置同步时,活动单元控制台将显示消息 Beginning configuration replication:Sending to mate 和“End Configuration Replication to mate”。

  5. 在完成运行配置的复制之后,将配置保存到闪存。

    hostname(config)#copy running-config startup-config
    

配置

本文档使用以下配置:

主要 PIX
pix#show running-config 
 PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!

!--- Configure "no shutdown" in the stateful failover interface 
!--- of both Primary and secondary PIX.


interface Ethernet2 
nameif state

	 description STATE Failover Interface

interface ethernet3 
nameif failover

  description LAN Failover Interface

!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list 101 extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500

failover
failover lan unit primary
failover lan interface failover Ethernet3
failover lan enable
failover key ******
failover link state Ethernet2
failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2

asdm image flash:/asdm-521.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list 101
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

辅助 PIX
pix#show running-config 

failover
failover lan unit secondary
failover lan interface failover Ethernet3
failover lan enable
failover key ******
failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2

验证

使用 show failover 命令

本部分介绍 show failover 命令输出。在每个单元上,都可使用 show failover 命令验证故障切换状态。

主要 PIX

pix#show failover
Failover On
Cable status: Normal
Failover unit Primary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(1), Mate 7.2(1)
Last Failover at: 06:07:44 UTC Dec 26 2006
        This host: Primary - Active
                Active time: 1905 (sec)
                  Interface outside (172.16.1.1): Normal
                  Interface inside (192.168.1.1): Normal
        Other host: Secondary - Standby Ready
                Active time: 0 (sec)
                  Interface outside (172.16.1.2): Normal
                  Interface inside (192.168.1.2): Normal

Stateful Failover Logical Update Statistics
        Link : state Ethernet2 (down)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         0          0          0          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          0          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       0       0

辅助 PIX

pix(config)#show failover
Failover On
Cable status: Normal
Failover unit Secondary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(1), Mate 7.2(1)
Last Failover at: 00:00:18 UTC Jan 1 1993
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                  Interface outside (172.16.1.2): Normal
                  Interface inside (192.168.1.2): Normal
        Other host: Primary - Active
                Active time: 154185 (sec)
                  Interface outside (172.16.1.1): Normal
                  Interface inside (192.168.1.1): Normal

Stateful Failover Logical Update Statistics
        Link : state Ethernet2 (down)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         0          0          0          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          0          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       0       0

使用 show failover state 命令可验证状态。

主要 PIX

pix#show failover state
====My State===
Primary | Active |
====Other State===
Secondary | Standby |
====Configuration State===
        Sync Done
====Communication State===
        Mac set
=========Failed Reason==============
My Fail Reason:
Other Fail Reason:
        Comm Failure

辅助单元

pix#show failover state
====My State===
Secondary | Standby |
====Other State===
Primary | Active |
====Configuration State===
        Sync Done - STANDBY
====Communication State===
        Mac set
=========Failed Reason==============
My Fail Reason:
Other Fail Reason:

若要验证故障切换单元的 IP 地址,请使用 show failover interface 命令。

主要单元

pix#show failover interface
        interface state Ethernet2
                System IP Address: 10.0.0.1 255.0.0.0
                My IP Address    : 10.0.0.1
                Other IP Address : 10.0.0.2

辅助单元

pix#show failover interface
        interface state Ethernet2
                System IP Address: 10.0.0.1 255.0.0.0
                My IP Address    : 10.0.0.2
                Other IP Address : 10.0.0.1

查看受监视的接口

若要查看受监视的接口的状态:在单上下文模式下,请在全局配置模式下输入 show monitor-interface 命令。在多上下文模式下,请在上下文内输入 show monitor-interface

注意: 若要对特定接口启用运行状况监控,请在全局配置模式下使用 monitor-interface 命令:

monitor-interface <if_name>

主要 PIX

pix(config)#show monitor-interface
        This host: Primary - Active
                Interface outside (172.16.1.1): Normal
                Interface inside (192.168.1.1): Normal
        Other host: Secondary - Standby Ready
                Interface outside (172.16.1.2): Normal
                Interface inside (192.168.1.2): Normal

辅助 PIX

pix(config)#show monitor-interface
        This host: Secondary - Standby Ready
                Interface outside (172.16.1.2): Normal
                Interface inside (192.168.1.2): Normal
        Other host: Primary - Active
                Interface outside (172.16.1.1): Normal
                Interface inside (192.168.1.1): Normal

注意: 如果不输入故障切换 IP 地址,则 show failover 命令会将该 IP 地址显示为 0.0.0.0,并且接口监视仍处于等待状态。有关不同故障切换状态的详细信息,请参阅 Cisco 安全设备命令参考 7.2 版show failover 部分。

注意: 默认情况下,监控物理接口启用,并且监控子接口禁用。

显示运行配置中的故障切换命令

若要查看运行配置中的故障切换命令,请输入以下命令:

hostname(config)#show running-config failover

此时将显示所有故障切换命令。在多上下文模式下运行的单元上,请在系统执行空间中输入 show running-config failover 命令。输入 show running-config all failover 命令以显示运行配置中的故障切换命令,包括未更改默认值的命令。

ASA故障切换电子邮件告警配置

完成这些步骤为了配置故障切换的电子邮件告警:

  1. 记录邮件高优先级的hostname(config)-

  2. 记录从地址xxx-001@example.com的hostname(config)-

  3. 记录收件人地址admin@example.com的hostname(config)-

  4. hostname(config)- SMTP服务器X.X.X.X

对于这些命令详细说明,参考发送系统消息对电子邮件地址

故障切换功能测试

若要测试故障切换功能,请执行以下步骤:

  1. 测试活动单元或故障切换组是否如预期那样,经由 FTP(举例来说)传递流量,从而基于不同接口在主机之间发送文件。

  2. 使用以下命令强制向备用单元执行故障切换:

    • 对于活动/备用故障切换,请在活动单元上输入以下命令:

      hostname(config)#no failover active
      
  3. 使用 FTP 在上述两台主机之间发送其他文件。

  4. 如果测试不成功,请输入 show failover 命令检查故障切换状态。

  5. 完成后,可以使用以下命令将该单元或故障切换组恢复到活动状态:

    对于活动/备用故障切换,请在活动单元上输入以下命令:

    hostname(config)#failover active
    

强制故障切换

若要强制将备用单元变为活动单元,请输入以下命令之一:

在备用单元上输入以下命令:

hostname#failover active

在活动单元上输入以下命令:

hostname#no failover active

禁用故障切换

若要禁用故障切换,请输入以下命令:

hostname(config)#no failover

如果在活动/备用对上禁用故障切换,则每个单元的活动和备用状态将保持不变,直到重新启动为止。例如,备用单元保持为备用模式,这样,两个单元都不会开始传递流量。若要使备用单元变为活动状态(甚至在禁用故障切换的情况下),请参阅强制故障切换部分。

如果在活动/活动对上禁用故障切换,则无论哪个单元配置为首选,故障切换组当前在哪个单元上为活动状态,它们就将一直处于活动状态。no failover 命令可在系统执行空间中输入。

恢复故障单元

若要将故障单元恢复为无故障状态,请输入以下命令:

hostname(config)#failover reset

如果将故障单元恢复为无故障状态,它并不会自动变为活动单元;恢复后的单元或组将保持为备用状态,直到故障切换将其变为活动状态(通过强制或自然方式)为止。但使用 preempt 命令配置的故障切换组例外。如果使用 preempt 命令配置的故障切换组以前为活动状态,并且故障单元是其首选单元,则该故障切换组将变为活动状态。

使用新单元替换故障单元

请完成以下步骤以便将故障单元替换为新单元:

  1. 对主要单元运行 no failover 命令。

    辅助单元的状态将显示 standby unit as not detected

  2. 拔下主要单元,然后连接替换主要单元。

  3. 验证替换单元与辅助单元运行的软件和 ASDM 版本是否相同。

  4. 对替换单元运行以下命令:

    ASA(config)#failover lan unit primary 
    ASA(config)#failover lan interface failover Ethernet3
    ASA(config)#failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
    ASA(config)#interface Ethernet3
    ASA(config-if)#no shut 
    ASA(config-if)#exit
    
  5. 将替换主要单元插入网络,然后运行以下命令:

    ASA(config)#failover
    

故障排除

发生故障切换时,两个安全设备都将发出系统消息。本部分包括以下主题:

故障切换监视

本示例演示故障切换尚未开始监视网络接口时的情况。故障切换在网络接口上收到来自另一个单元的第二个“hello”数据包后,才会开始监视该接口。这需要大约 30 秒时间。如果该单元连接到运行生成树协议 (STP) 的网络交换机,则花费的时间将是交换机上配置的“forward delay”时间(通常配置为 15 秒)的两倍再加上这个 30 秒的延迟时间。这是因为 PIX 引导时和刚发生故障切换事件后,网络交换机将检测临时网桥环路。检测此环路时,由于存在“forward delay”时间,它将停止在这些接口上转发数据包。然后,它将进入“listen”模式,持续时间为“forward delay”时间,在这段时间内,交换机监听网桥环路,但不转发流量(或转发故障切换“hello”数据包)。在两倍转发延迟时间(30 秒)之后,继续传送数据。每个 PIX 都保持为“waiting”模式,直到其在 30 秒后听到来自另一个单元的“hello”数据包。在 PIX 传递流量的时间内,它不会因为未听到来自另一个单元的“hello”数据包就判定该单元出现故障。其他所有故障切换监视仍然进行(即电源、链路接口丢失和故障切换电缆“hello”)。

对于故障切换,Cisco 强烈建议用户在连接到 PIX 接口的所有交换机端口上启用 Portfast。另外,必须在这些端口上禁止开辟信道和建立中继。如果 PIX 的接口在故障切换期间发生故障,交换机不必在端口的状态从监听转换为学习转发时等待 30 秒。

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active 
			Active time: 6930 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)
		Other host: Secondary - Standby 
			Active time: 15 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Normal (Waiting)

总之,请检查以下步骤以减少故障切换问题:

  • 检查与处于等待/故障状态的接口相连的网络电缆,如有必要,更换这些电缆。

  • 如果两个单元之间连接了交换机,请验证与处于等待/故障状态的接口相连的网络是否正常运行。

  • 检查与处于等待/故障状态的接口相连的交换机端口,如有必要,使用交换机上的其他 FE 端口。

  • 检查是否在接口所连接的交换机端口上启用了 Portfast 并禁止建立中继和开辟信道。

单元故障

在本示例中,故障切换检测到一个故障。请注意,主要单元上的 Interface 1 是故障的来源。由于该故障,这些单元退回“waiting”模式。故障单元已从网络中自行移除(接口发生故障),不再在网络中发送“hello”数据包。活动单元保持为“waiting”状态,直到更换故障单元且故障切换通信重新开始为止。

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Standby (Failed)
			Active time: 7140 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Failed (Waiting)
		Other host: Secondary - Active 
			Active time: 30 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)

LU 分配连接失败

如果收到以下错误消息,说明可能有内存问题:

LU 分配连接失败

若要解决这一问题,请升级 PIX/ASA 软件。参考Cisco Bug ID CSCte80027 (仅限注册用户)欲知更多信息。

主要单元在接口 interface_name 上丢失了与伙伴的故障切换通信

如果故障切换对的主要单元无法再与该对的另一个单元通信,则会显示以下故障切换消息。主要单元也能列为辅助单元的备件。

((主要单元)在接口 interface_name 上丢失了与伙伴的故障切换通信

请验证连接到指定接口的网络是否正常运行。

故障切换系统消息

安全设备发出优先级为 2 的与故障切换有关的大量系统消息,说明存在严重的问题。若要查看这些消息,请参阅 Cisco 安全设备日志记录配置和系统日志消息,以启用日志记录和查看有关系统消息的说明。

注意: 在切换期间,故障切换会在逻辑上关闭接口,然后打开接口,这将生成 Syslog 411001 和 411002 消息。这是正常的活动。

调试消息

若要查看调试消息,请输入 debug fover 命令。有关详细信息,请参阅 Cisco 安全设备命令参考

注意: 因为在 CPU 进程中对调试输出分配了很高的优先级,所以可能会极大地影响系统性能。因此,只有在针对特定问题排除故障或在与 Cisco 技术支持人员进行故障排除会话期间,才应使用 debug fover 命令。

SNMP

若要接收故障切换的 SNMP 系统日志陷阱,请配置 SNMP 代理以将 SNMP 陷阱发送到 SNMP 管理站,定义系统日志主机,并将 Cisco 系统日志 MIB 编译到 SNMP 管理站中。有关详细信息,请参阅 Cisco 安全设备命令参考中的 snmp-server 和日志记录命令。

NAT 0 问题

重启 Cisco 安全设备时,NAT 0 命令会从工作配置中消失。即使保存该配置以后,也会出现此问题。其他命令将被保存,但不会保存 NAT 0 命令。

此问题归结于 Cisco Bug ID CSCsk18083仅限注册用户)。若要解决此问题,请不要对 nat exemption 访问列表配置无效的访问列表。请使用 ip permit 或拒绝 ace 条目。

故障切换轮询时间

若要指定故障切换单元轮询和保持时间,请在全局配置模式下使用 failover polltime 命令。

failover polltime unit msec [time] 表示时间间隔,用于通过轮询 hello 消息检查备用单元是否存在。

同样,failover holdtime unit msec [time] 表示一个时间段设置,在对等单元声明发生故障后,单元必须在该时间段内接收故障切换链路上的 hello 消息。

若要在活动/备用故障切换配置中指定数据接口轮询和保持时间,请在全局配置模式下使用 failover polltime interface 命令。若要恢复默认轮询和保持时间,请使用此命令的 no 形式。

failover polltime interface [msec] time [holdtime time]

若要更改 hello 数据包在数据接口上的发送频率,请使用 failover polltime interface 命令。此命令只适用于活动/备用故障切换。对于活动/活动故障切换,请在故障切换组配置模式下使用 polltime interface 命令,而不是 failover polltime interface 命令。

对于 holdtime value,输入的时间不能少于接口轮询时间的 5 倍。轮询时间越快,安全设备检测故障和触发故障切换的速度就越快。但是,如果网络只是临时拥塞,更快地检测到故障可能导致不必要的切换。如果在接口上经过一半保持时间仍未听到 hello 数据包,则会开始接口测试。

在配置中可以同时包括 failover polltime unit 和 failover polltime interface 命令。

本示例将接口轮询时间频率设置为 500 毫秒,将保持时间设置为 5 秒:

hostname(config)#failover polltime interface msec 500 holdtime 5

有关详细信息,请参阅 Cisco 安全设备命令参考 7.2 版failover polltime 部分。

导出故障切换配置中的证书/专用密钥

主要设备自动将专用密钥/证书复制到辅助单元。若要将配置(包括证书/专用密钥)复制到备用单元,请在活动单元中发出 write memory 命令。活动单元配置会清除并重新填充备用单元上的所有密钥/证书。

注意: 不可从活动设备手动导入证书、密钥和信任点,然后导出到备用设备。

警告:故障切换消息解密失败。

错误消息:

Failover message decryption failure. Please make sure both units have the 
same failover shared key and crypto license or system is not out of memory

此问题是因故障切换密钥配置造成的。若要解决此问题,请移除故障切换密钥,并配置新的共享密钥。

ASA 模块故障切换

如果活动和备用单元中使用了高级检查和防御安全服务模块 (AIP-SSM) 或内容安全和控制安全服务模块 (CSC-SSM),则这些模块在故障切换时将独立于 ASA 运行。必须在活动和备用单元上手动配置模块,故障切换不会复制模块配置。

对于故障切换,具有 AIP-SSM 或 CSC-SSM 模块的两个 ASA 单元必须属于同一硬件类型。例如,如果主要单元具有 ASA-SSM-10 模块,则辅助单元也必须具有 ASA-SSM-10 模块。

在您去除模块前,为了替换在一故障切换对的AIP-SSM模块ASA,您必须运行hw-module模块1 shutdown命令。另外,因为模块不hotswapable, ASA必须关掉。关于如何安装和删除AIP-SSM的更多信息,参考安装和删除说明

故障切换消息块分配失败

错误消息 %PIX|ASA-3-105010: (Primary) Failover message block alloc failed

说明:块内存已耗尽。这是一个暂时性的消息,安全设备应会恢复。主要 单元也能列为辅助单元的备件。

建议操作:若要监视当前块内存,请使用 show blocks 命令。

AIP 模块故障切换问题

如果故障切换配置中有两个 ASA,并且每个 ASA 都有一个 AIP-SSM,则必须手动复制 AIP-SSM 的配置。故障切换机制只复制 ASA 的配置。故障切换不包括 AIP-SSM。

首先,AIP-SSM 在故障切换时独立于 ASA 运行。进行故障切换时,ASA 只要求 AIP 模块为同一硬件类型。此外,与故障切换的其他所有部分一样,活动和备用单元之间的 ASA 配置必须同步。

至于 AIP 的设置,它们实际上是独立的传感器。如果两者之间没有故障切换,它们就不会相互感知。它们能运行不同版本的代码。也就是说,它们不必相互匹配,进行故障切换时,ASA 不关心 AIP 上的代码版本。

ASDM 通过在 AIP 上配置的管理接口 IP 发起与 AIP 的连接。换句话说,它通常根据传感器的设置方式通过 HTTPS 连接到传感器。

可独立于 IPS (AIP) 模块对 ASA 执行故障切换。因为连接到其管理 IP,所以仍然是连接到同一个 AIP。若要连接到其他 AIP,必须重新连接其管理 IP 才能对其进行配置和访问。

有关如何通过 Cisco ASA 5500 系列自适应安全设备 (ASA) 将网络流量发送到高级检查和防御安全服务模块 (AIP-SSM) 的配置示例,请参阅 ASA:从 ASA 向 AIP SSM 发送网络流量配置示例

无法将 ASA 故障切换对从以太网卡升级到光纤接口

请完成以下步骤以便将 ASA 故障切换对从以太网卡升级到光纤接口:

  1. 确保主要设备处于活动状态,关闭辅助/备用 ASA,然后添加新接口卡。

  2. 移除所有电缆并引导辅助/备用 ASA,以测试新硬件是否正常运行。

  3. 重新关闭辅助/备用 ASA,并重新连接电缆。

  4. 关闭主要/活动 ASA,然后引导辅助 ASA。

    注意: 禁止将两个 ASA 同时变为活动状态。

  5. 确认辅助 ASA 已启动并正在传递流量,然后使用 failover active 命令激活辅助设备。

  6. 在主要 ASA 上安装新接口并移除电缆。

  7. 引导主要 ASA 并测试新硬件。

  8. 关闭主要 ASA 并重新连接电缆。

  9. 引导主要 ASA,然后使用 failover active 命令激活主要设备。

注意: 请使用 show failover 命令验证两个设备的故障切换状态。如果故障切换状态正常,则可以在主要活动设备上配置接口,这些接口将在辅助备用设备上进行复制。

ERROR:当本地CA服务器配置时,故障切换不可能配置。

当用户尝试配置在ASA时的故障切换此错误消息出现:

ERROR:当本地CA服务器配置时,故障切换不可能配置。请在配置故障切换前请删除本地CA服务器配置。

因为ASA不支持同时,配置本地CA服务器和故障切换此错误出现。

%ASA-1-104001 :(对活动服务卡的附属)交换在其他单元失败

我收到在我的故障切换ASA对的此错误消息:%ASA-1-104001 :(对活动服务卡的附属)交换在其他单元失败

此问题通常出现由于IPS CSC模块和不由于ASA。如果收到在错误日志的此消息,请验证重新安装他们的模块或尝试的配置。参考Cisco Bug ID CSCtf00039 (仅限注册用户)欲知更多信息。

已知问题

  • Error:The name on the security certificate is invalid or does not match the name of the site

    当用户试图访问软件版本为 8.x 的辅助 ASA 上的 ASDM 和 ASDM 6.x 版以进行故障切换配置时,将收到以下错误消息:

    Error:The name on the security certificate is invalid or does not match the name of the site

    在证书中,Issuer 和 Subject Name 是活动单元(而不是备用单元)的 IP 地址。

    在 ASA 8.x 版中,内部 (ASDM) 证书从活动单元复制到备用单元,导致该错误消息出现。不过,如果相同的防火墙基于 7.x 版代码和 5.x ASDM 运行,并且您试图访问 ASDM,则将收到常规安全警告:

    The security certificate has a valid name matching the name of the page you are trying to view

    如果检查该证书,则会发现 Issuer 和 Subject Name 是备用单元的 IP 地址。

  • Error:%ASA-ha-3-210007 :LU分配失败的xlate

    此错误接收:%ASA-ha-3-210007 :LU分配失败的xlate

    此问题被观察了并且登陆Cisco Bug ID CSCte08816 (仅限注册用户)。为了解决此问题,您必须升级到此bug修复的其中一个软件版本。

  • 待机ASA重新加载在从主要的xlate复制时

    暂时地,此问题在版本8.4.2和8.4.1.11看到。设法升级到8.4.2.4为了调整问题。参考Cisco Bug ID CSCtr33228欲知更多信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 77809