Cisco インターフェイスとモジュール : Cisco サービス モジュール

Catalyst 6500 FWSM - ハードウェア障害によるフェールオーバー ユニットの交換

2005 年 9 月 30 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2005 年 9 月 30 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
概要
FWSM コードのアップグレード
      現在使用されていない新しいスイッチの VLAN を有効にする
スイッチでファイアウォール VLAN を定義する
フェールオーバー設定のための基本的な FWSM
設定とコンフィギュレーションの確認
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、障害が発生した Firewall Services Module(FWSM)を交換品にアップグレードする方法と設定方法について説明しています。 ダウンタイムを最小限にするための、Catalyst 6500 シリーズ スイッチの設定方法についても説明します。 ここでの説明は、フェールオーバー ペアの相手側 FWSM と、物理的には交換済の FWSM(詳細はハードウェアのインストール ガイドを参照してください)に適用されます。

前提条件

要件

このドキュメントの手順を実行する前に、次の点を確認してください。

  • スイッチの基本プロパティが設定済である。

    注:このドキュメントでは、FWSM とスイッチの初期設定については説明していません。 ハードウェア障害が発生する前には、FWSM とスイッチが正常に動作していたことが前提となっています。

使用するコンポーネント

このドキュメントの情報は、Cisco Catalyst 6500 シリーズ Firewall Services Module に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメント内で使用されているデバイスはすべて、クリアな状態(デフォルト)から設定作業を始めています。対象のネットワークが実稼動中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

概要

ここでは、FWSM の設定、アップグレード、および交換の手順を説明します。 このドキュメントの残りのセクションでは、手順をさらに詳細に説明しています。

  1. スイッチ上で、交換 FWSM に新しい VLAN をファイアウォール VLAN として定義します(以前のファイアウォール VLAN の定義は削除します)。

  2. PC を Catalyst 6000 に接続し、定義した新しい VLAN にスイッチ ポートを割り当てます。

  3. FWSM へのセッションを開始して、インターフェイスを有効にします。

  4. PC を TFTP サーバとして使用して、ソフトウェアをダウンロードします。 必ず、現在アクティブになっているデバイスと同じバージョンのコードを使用してください。

  5. FWSM でフェールオーバーの基本的な設定を行い、以前のファイアウォール VLAN とフェールオーバー インターフェイスを回復させます(TFTP に設定したインターフェイスを削除します)。 この時、設定が複製され、その FWSM がバックアップになります。

FWSM コードのアップグレード

フェールオーバーが実行されるためには、2 つの FWSM で同一のバージョン コードが稼動している必要があります。 RMA 手続きによる FWSM にアクティブ ファイアウォールと同じバージョンのコードが付属していない場合は、次の手順でアップグレードしてください。

FWSM ソフトウェア登録ユーザ専用)を TFTP サーバにダウンロードしてください。

現在使用されていない新しいスイッチの VLAN を有効にする

次の手順を実行します。

  1. スイッチに VLAN を追加します。

    予約済みの VLAN は使用できません。

    • スイッチで Cisco IOS(R) ソフトウェアが稼動している場合は、vlan vlan_number コマンドを使用して、VLAN を追加します。

    • スイッチで Catalyst Operating System ソフトウェアが稼動している場合は、set vlan vlan_number コマンドを使用して、VLAN を追加します。

  2. PC に接続するスイッチ ポートに VLAN を割り当てます。

    • Cisco IOS ソフトウェアを使用している場合は、次のコマンドを入力して VLAN をポートに割り当てます。

      router(config)#interface type slot/port
       router(config-if)#switchport
       router(config-if)#switchport mode access
       router(config-if)#switchport access vlan vlan_id
       
    • Catalyst Operating System ソフトウェアを使用している場合は、次のコマンドを入力して VLAN をポートに割り当てます。

       set vlan vlan_number mod/ports
       
       
  3. バックアップ用に、以前のファイアウォール コマンドをメモ帳(Notepad)にコピーしておきます。 次に、これを削除して、手順 1 と 2 で定義した VLAN に置き換えることにより、交換します。

    • Cisco IOS ソフトウェアの場合。

      Router(config)#firewall vlan-group firewall_group vlan_range
       
       Router(config)#firewall module module_number vlan-group firewall_group
       
       
    • Catalyst Operating System ソフトウェアの場合。

      Console> (enable) set vlan vlan_list firewall-vlan mod_num
       
       
  4. FWSM のインターフェイスと IP アドレスを有効にします。

     nameif interface interface_name security_lvl
     
     ip address interface_name ip_address [mask]
     
     interface interface_name
     
     fwsm(config-interface) no shutdown
     
  5. ping を使用して、FWSM と PC 間の接続をテストします。 接続を確認したら、次のコマンドを使用して TFTP サーバからイメージをダウンロードします。 ダウンロードが完了したら、FWSM をリロードします。

    FWSM#copy tftp://server[/path]/filename flash:
     

    次に入力するコマンドの例を示します。

    FWSM#copy tftp://209.165.200.226/cisco/c6svc-fwm-k9.2-1-1.bin flash:
     

スイッチでファイアウォール VLAN を定義する

「FWSM コードのアップグレード」の手順 1 で削除したコマンドを置き換えます。

  • Cisco IOS ソフトウェアの場合。

    Router(config)#firewall vlan-group firewall_group vlan_range
     
     Router(config)#firewall module module_number vlan-group firewall_group
     
     
  • Catalyst Operating System ソフトウェアの場合。

    Console> (enable)set vlan vlan_list firewall-vlan mod_num
     
     

フェールオーバー設定のための基本的な FWSM

ペアに再導入するための準備として、基本的な FWSM 設定を行います。 次に、スイッチ ファイアウォール グループまたはファイアウォール VLAN を再設定して、これをフェールオーバー ペアに取り込みます。

  1. 「現在使用されていない新しいスイッチの VLAN を有効にする」の手順 4 で定義した、以前の nameif と IP アドレスを削除します。

  2. デバイスをプライマリまたはセカンダリに定義します。

    FWSM(config)#fail lan unit {primary|secondary}
     
  3. システム実行スペースに次のコマンドを入力して、フェールオーバー VLAN のインターフェイスをマルチ コンテキスト モードに設定します。

    primary(config)#failover lan interface interface_name vlan vlan
     
  4. 次のコマンドを入力して、フェールオーバー インターフェイスの IP アドレスを設定します。

    primary(config)#failover interface ip failover_interface ip_address mask standby 
     ip_address
     
  5. フェールオーバーを有効にします。

    FWSM(config)#failover
     

    次に出力の例を示します。

    FWSM(config)#failover lan unit secondary
     FWSM(config)#failover interface ip fover 10.1.1.10 255.255.255.0 standby 10.1.1.11
     FWSM(config)#failover LAN Interface fover vlan 50
     FWSM(config)#failover
     

    このように出力されます。

    Detected an Active mate.  Switching to Standby
     Beginning configuration replication from mate.
     This unit is in syncing state. 
     End configuration replication from mate.

設定とコンフィギュレーションの確認

アウトプットインタープリタ登録ユーザ専用)(OIT)では特定の show コマンドがサポートされています。 OIT を使用して、show コマンドの出力の解析を表示できます。

一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

次の show コマンドを発行します。

fwsm(config)#show failover
 Failover On
 Failover unit Primary
 Failover LAN Interface fover Vlan 150
 Unit Poll frequency 15 seconds
 Interface Poll frequency 15 seconds
 Interface Policy 50%
 Monitored Interfaces 249 of 250 maximum
 Config sync: active
 Last Failover at: 10:58:08 Apr 15 2004
         This host: Primary - Standby 
                 Active time: 0(sec)
                 admin Interface inside (10.6.8.91): Normal 
                 admin Interface outside (70.1.1.2): Normal 
         Other host: Secondary - Active 
                 Active time: 2232 (sec)
                 admin Interface inside (10.6.8.100): Normal 
                 admin Interface outside (70.1.1.3): Normal 

This hoststandby 状態であることを確認します。 FWSM からインターフェイスの先の各デバイスに ping で接続を確認します。 新しいデバイスをアクティブにする場合は、no active failover コマンドを使用して強制的にフェールオーバーさせます。

スタンバイ モジュールにフェールオーバーさせるには、アクティブ モジュールで次のコマンドを入力します。

primary(config)#no failover active
 

スタンバイ モジュールで次のコマンドを入力すると、これが強制的にアクティブにされます。

secondary(config)#failover active
 

フェールオーバーの詳細については、『フェールオーバーの使用方法』を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 65604