Cisco インターフェイスとモジュール : Cisco Catalyst 6500 シリーズ ファイアウォール サービス モジュール

Catalyst 6500 FWSM - ハードウェア障害後のフェールオーバー ユニットの交換

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2005 年 9 月 30 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、障害が発生した Firewall Services Module(FWSM)を交換品にアップグレードする方法と設定方法について説明しています。 ダウンタイムを最小限にするための、Catalyst 6500 シリーズ スイッチの設定方法についても説明します。 ここでの説明は、フェールオーバー ペアの相手側 FWSM と、物理的には交換済の FWSM(詳細はハードウェアのインストール ガイドを参照してください)に適用されます。

前提条件

要件

この資料の手順を完了する前に:

  • スイッチの基本的なプロパティを設定されます確認して下さい。

    注: このドキュメントでは、FWSM とスイッチの初期設定については説明していません。 ハードウェア障害が発生する前には、FWSM とスイッチが正常に動作していたことが前提となっています。

使用するコンポーネント

このドキュメントの情報は、Cisco Catalyst 6500 シリーズ Firewall Services Module に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

概要

これらのステップは FWSM の設定、アップグレードおよび置換で指示します。 このドキュメントの残りのセクションでは、手順をさらに詳細に説明しています。

  1. 置換 FWSM とのスイッチのファイアウォール VLAN と別々のVLAN を(古いファイアウォール VLAN 定義を取除いて下さい)定義して下さい。

  2. PC を Catalyst 6000 に接続し、定義した新しい VLAN にスイッチ ポートを割り当てます。

  3. FWSM へのセッションを開始して、インターフェイスを有効にします。

  4. PC を TFTP サーバとして使用して、ソフトウェアをダウンロードします。 現在のアクティブデバイスと同じコードのバージョンを使用するようにして下さい。

  5. FWSM の基本的なフェールオーバー設定を設定し、古いファイアウォール VLAN およびフェールオーバー インターフェイスを復元する(TFTP のために設定されるインターフェイスを外して下さい)。 現時点で、コンフィギュレーション複写は行われ、FWSM はバックアップになります。

FWSM コードのアップグレード

フェールオーバーを実行するために、2 つ FWSMs は同じコードのバージョンを実行する必要があります。 ケースでは RMA'd がアクティブなファイアウォールと同じコードのバージョンが FWSM 付いていないこと、アップグレードするためにこれらのステップを完了して下さい。

TFTPサーバに FWSM ソフトウェア登録ユーザのみ)をダウンロードして下さい。

現在使用中ではない新しいスイッチ VLAN を有効に して下さい

次の手順を実行します。

  1. スイッチに VLAN を追加して下さい。

    予約済みの VLAN は使用できません。

    • Cisco IOS を実行する場合 VLAN を追加するのに VLAN vlan_number コマンドを使用して下さいか。 スイッチのソフトウェア。

    • スイッチで Catalyst Operating System ソフトウェアが稼動している場合は、set vlan vlan_number コマンドを使用して、VLAN を追加します。

  2. PC を接続することを計画するスイッチポートに VLAN を割り当てて下さい。

    • Cisco IOSソフトウェアを使用してポートに VLAN を、割り当てるためにこれらのコマンドを入力して下さい:

      router(config)#interface type slot/port
      
      router(config-if)#switchport
      
      router(config-if)#switchport mode access
      
      router(config-if)#switchport access vlan vlan_id
      
    • Catalyst オペレーティング システムソフトウェアを使用してポートに VLAN を、割り当てるためにこのコマンドを入力して下さい:

      set vlan vlan_number mod/ports
      
      
  3. それらをバックアップするために Notepad に古いファイアウォール コマンドをコピーして下さい。 次に、ステップ 1 および 2.で定義される VLAN の代替とそれらを取除き、次に取替えて下さい。

    • Cisco IOSソフトウェアに関しては:

      Router(config)#firewall vlan-group firewall_group vlan_range
      
      
      Router(config)#firewall module module_number vlan-group firewall_group
      
      
    • Catalyst オペレーティング システムソフトウェアに関しては:

      Console> (enable) set vlan vlan_list firewall-vlan mod_num
      
      
  4. FWSM および IP アドレスのインターフェイスをイネーブルに設定して下さい:

    nameif interface interface_name security_lvl
    
    
    ip address interface_name ip_address [mask]
    
    
    interface interface_name
    
    
    fwsm(config-interface) no shutdown
    
  5. ping を使用して、FWSM と PC 間の接続をテストします。 接続を確認したら、次のコマンドを使用して TFTP サーバからイメージをダウンロードします。 ダウンロードが完了したら、FWSM をリロードします。

    FWSM#copy tftp://server[/path]/filename flash:
    

    たとえば、コマンド

    FWSM#copy tftp://209.165.200.226/cisco/c6svc-fwm-k9.2-1-1.bin flash:
    

スイッチのファイアウォール VLAN を定義して下さい

「FWSM コードのアップグレード」の手順 1 で削除したコマンドを置き換えます。

  • Cisco IOSソフトウェアに関しては:

    Router(config)#firewall vlan-group firewall_group vlan_range
    
    
    Router(config)#firewall module module_number vlan-group firewall_group
    
    
  • Catalyst オペレーティング システムソフトウェアに関しては:

    Console> (enable)set vlan vlan_list firewall-vlan mod_num
    
    

フェールオーバー 設定のための基本 FWSM

ペアに再導入するための準備として、基本的な FWSM 設定を行います。 次に、スイッチ ファイアウォール グループまたはファイアウォール VLAN を再設定して、これをフェールオーバー ペアに取り込みます。

  1. 「現在使用されていない新しいスイッチの VLAN を有効にする」の手順 4 で定義した、以前の nameif と IP アドレスを削除します。

  2. プライマリとデバイスをかセカンダリ定義して下さい。

    FWSM(config)#fail lan unit {primary|secondary}
    
  3. マルチ コンテキスト モードのためのフェールオーバー VLANインターフェイスを設定するためにシステム実行領域でこのコマンドを入力して下さい:

    primary(config)#failover lan interface interface_name vlan vlan
    
  4. フェールオーバー インターフェイスの IP アドレスを設定 するためにこのコマンドを入力して下さい:

    primary(config)#failover interface ip failover_interface ip_address mask standby 
    ip_address
    
  5. フェールオーバーを有効にします。

    FWSM(config)#failover
    

    次に出力の例を示します。

    FWSM(config)#failover lan unit secondary
    FWSM(config)#failover interface ip fover 10.1.1.10 255.255.255.0 standby 10.1.1.11
    FWSM(config)#failover LAN Interface fover vlan 50
    FWSM(config)#failover
    

    このように出力されます。

    Detected an Active mate.  Switching to Standby
           
    Beginning configuration replication from mate.
    This unit is in syncing state. 
    End configuration replication from mate.

セットアップと設定を確認して下さい

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

この表示コマンドを発行して下さい:

fwsm(config)#show failover
Failover On
Failover unit Primary
Failover LAN Interface fover Vlan 150
Unit Poll frequency 15 seconds
Interface Poll frequency 15 seconds
Interface Policy 50%
Monitored Interfaces 249 of 250 maximum
Config sync: active
Last Failover at: 10:58:08 Apr 15 2004
        This host: Primary - Standby 
                Active time: 0(sec)
                admin Interface inside (10.6.8.91): Normal 
                admin Interface outside (70.1.1.2): Normal 
        Other host: Secondary - Active 
                Active time: 2232 (sec)
                admin Interface inside (10.6.8.100): Normal 
                admin Interface outside (70.1.1.3): Normal 

このホストがスタンバイにあることを確認して下さい。 また FWSM からインターフェイスを離れてデバイスを ping できるかどうか確認して下さい。 新しいデバイスにアクティブになってほしい場合フェールオーバーを強制するアクティブな failover コマンドを使用しないで下さい。

スタンバイ モジュールにフェールオーバーにアクティブ モジュールのこのコマンドを入力して下さい:

primary(config)#no failover active

それをアクティブになるために強制するようにスタンバイ モジュールのこのコマンドを入力して下さい:

secondary(config)#failover active

フェールオーバーの詳細については、『フェールオーバーの使用方法』を参照してください。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 65604