Switches : Switches Cisco Catalyst de la serie 6500

Troubleshooting del Failover FWSM

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento explica los procedimientos que usted puede utilizar para resolver los problemas con la configuración de failover del módulo firewall service (FWSM).

Este documento también proporciona una lista de verificación de procedimientos comunes para intentar antes de que usted comience a resolver problemas la conexión de recuperación tras falla.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en FWSM 2.3 y posterior.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

La característica de la Conmutación por falla permite que un FWSM espera asuma el control las funciones de un FWSM fallado. Los dos FWSM implicados deben tener la misma versión de software principal (primer número) y de menor importancia, la licencia, y los modos de operación (del segundo número) (ruteados o transparentes, solos o contexto múltiple). Cuando la unidad activa falla, los cambios de estado al recurso seguro, mientras que la unidad en espera se traslada al estado activo. Después de que ocurre un failover, la misma información de conexión está disponible en la nueva unidad activa.

Para la información adicional, refiera a la sección de la Conmutación por falla que configura de usar la Conmutación por falla.

Lista de verificación de la Conmutación por falla

Esta lista de verificación le ayuda a configurar con éxito la Conmutación por falla en el FWSM:

Verifique las interfaces

Verifique que todas las interfaces en el FWSM tengan un IP Address en Standby configurado. Si usted no ha hecho tan ya, configure el active y los IP Address en Standby para cada interfaz (modo ruteado), o para la dirección de administración (modo transparente). El IP Address en Standby se utiliza en el FWSM que es actualmente la unidad en espera. Debe estar en la misma subred que la dirección IP activa.

Esto es un ejemplo de configuración:

ip address <active-ip> <netmask> standby <standby-ip> 

Nota: No configure una dirección IP para el link de fallas o para el link del estado (si usted va a utilizar a la falla de estado).

Nota: Usted no necesita identificar la máscara de subred de la dirección standby. La dirección IP y la dirección MAC del link de failover no cambian en el failover. La dirección IP activa para el link de failover permanece siempre con la unidad primaria, mientras que la dirección IP standby permanece con la unidad secundaria.

Licencias

Ambas unidades activas y en espera deben tener la misma licencia.

Modo del contexto

Si la unidad primaria está en el solo modo del contexto, la unidad secundaria debe también estar en el solo modo del contexto y en el mismo modo firewall que la unidad primaria.

Si la unidad primaria está en el modo de contexto múltiple, la unidad secundaria debe también estar en el modo de contexto múltiple. Usted no necesita configurar al modo firewall de los contextos de seguridad en la unidad secundaria porque los links de la Conmutación por falla y del estado residen en el contexto del sistema. La unidad secundaria obtiene la configuración de los contextos de seguridad de la unidad primaria.

Nota: El comando mode no consigue replicado a la unidad secundaria.

Nota: El Multicast no se soporta en el modo de contexto múltiple del dispositivo de seguridad. Refiera a la sección de las características no admitidas para más información.

Requisitos de software

Las dos unidades en una configuración de failover deben tener la misma versión de software principal (primer número) y de menor importancia (del segundo número). Sin embargo, usted puede utilizar diversas versiones del software durante un proceso de actualización. Por ejemplo, usted puede actualizar una unidad de la versión 3.1(1) a la versión 3.1(2) y hacer que la Conmutación por falla siga siendo activa. Cisco recomienda actualizar ambas unidades a la misma versión para asegurar la compatibilidad a largo plazo.

Configuración de FWSM mínima para la falla de estado

FWSM primario

failover lan unit primary
failover lan interface if_name vlan vlan
failover interface ip if_name ip_addr mask standby ip_addr
failover link if_name vlan vlan
failover interface ip if_name ip_addr mask standby ip_addr

FWSM secundario

failover lan unit secondary
failover lan interface if_name vlan vlan
failover interface ip if_name ip_addr mask standby ip_addr
failover link if_name vlan vlan
failover interface ip if_name ip_addr mask standby ip_addr

Para más información sobre cómo configurar la Conmutación por falla activa y espera, refiera a la Conmutación por falla activa/espera el configurar.

Configuración del switch mínima

  • Los VLA N enviados al FWSM primario por el Catalyst que contiene la coincidencia primaria de la necesidad los VLA N enviaron al FWSM secundario por el Catalyst que contiene el secundario. (Salida del funcionamiento de la demostración | el comando del Firewall i debe ser idéntico.)

    Chasis primario

    cat6k-7(config)#do sh run | i fire               
    firewall multiple-vlan-interfaces
    firewall module 9 vlan-group 1
    firewall vlan-group 1  3,4,100-106

    Chasis secundario

    cat6k-7(config)#do sh run | i fire               
    firewall multiple-vlan-interfaces
    firewall module 9 vlan-group 1
    firewall vlan-group 1  3,4,100-106
  • Todos los VLA N se envían que deben estar presentes en la base de datos de VLAN y ser activos.

    Para realizar esto, publique estos comandos en el Switch en el modo de configuración:

    vlan 10
    no shut
    

    Para verificar si los VLA N están en la base de datos y activo, la salida del comando show vlan en ambos chasis debe contener los VLA N enviados al FWSM y mostrar como active.

    Éste es un ejemplo de salida:

    Chasis primario

    cat6k-7(config)#do sh vlan
    
    VLAN Name                             Status    Ports
    ---- -------------------------------- --------- -----
    1    default                               active    
    3    VLAN0003                         active    Fa4/47
    4    VLAN0004                         active    Fa4/48

    Chasis secundario

    cat6k-7(config)#do sh vlan
    
    VLAN Name                             Status    Ports
    ---- -------------------------------- --------- -----
    1    default                               active    
    3    VLAN0003                         active    Fa4/47
    4    VLAN0004                         active    Fa4/48
  • Aseegurese que los dos FWSM tienen Conectividad Layer2 en cada VLA N (deben estar en la misma subred).

    Requisitos transparentes del Firewall:

    Para evitar los loopes cuando usted utiliza la Conmutación por falla en el modo transparente, usted debe utilizar el software del switch que soporta el envío del (BPDU) de la Unidad de bridge protocol data. También, usted debe configurar el FWSM para permitir los BPDU. ¿Para permitir los BPDU con el FWSM, configure un Ethertype? El ACL y lo aplica a ambas interfaces.

    Nota: En comparación con la plataforma PIX y ASA, el hardware de dos cuchillas FWSM es siempre lo mismo, no hay diversos modelos o configuraciones de la memoria.

Resolución de problemas

Cuando las recargas FWSM, los escenarios explicados en esta sección harán la Conmutación por falla ser inhabilitadas.

El FWSM puede recargar por las razones tales como caída, reajustó del chasis, recarga publicada de FWSM CLI, o puede apenas ser un nuevo módulo que se inserta o se vuelve a sentar en un diverso slot o una salvaguardia accionada del chasis.

Discordancía de la versión

Las dos unidades en una configuración de failover deben tener la misma versión de software principal (primer número) y de menor importancia (del segundo número).

Mensaje de Syslog relacionado: 105040

Licencias incompatibles

Usted puede ser que reciba este Syslog debido a una licencia incompatible:

FWSM-1-105045: (Primary) Mate license (number contexts) is not compatible 
with my license (number contexts).
FWSM-1-105001: (Primary) Disabling failover.

Mensajes de Syslog relacionados: 105045 y 105001

Diversos modos (escoja contra el contexto múltiple)

El FWSM primario y secundario debe estar en el mismo modo (solo o múltiple). Por ejemplo, si el primario se configura como el modo simple y el secundario mientras que recargan al modo múltiple y el secundario, después ambos los módulos apagarán la Conmutación por falla.

Primario en el modo simple:

%FWSM-1-103001: (Primary) No response from other firewall (reason code = 1).
%FWSM-1-105044: (Primary) Mate operational mode (Multi) is not compatible 
with my mode (Single).
%FWSM-1-105001: (Primary) Disabling failover.

Secundario en el modo múltiple (se recarga esta cuchilla):

%FWSM-5-111008: User 'Config' executed the 'no snmp-server location' command.
%FWSM-5-111008: User 'Config' executed the 'inspect tftp' command.
%FWSM-5-111008: User 'Config' executed the 'service-policy global_policy global' 
command.
%FWSM-5-111008: User 'Config' executed the 'config-url disk:/admin.cfg' command.
%FWSM-5-111008: User 'Config' executed the 'prompt hostname context' command.
%FWSM-4-411001: Line protocol on Interface LAN, changed state to up
%FWSM-4-411001: Line protocol on Interface LAN, changed state to up
%FWSM-1-105044: (Secondary) Mate operational mode (Single) is not compatible 
with my mode (Multi).
%FWSM-1-105001: (Secondary) Disabling failover.
%FWSM-6-199002: Startup completed.  Beginning operation.
%FWSM-6-605005: Login permitted from 127.0.0.51/15518 to eobc:127.0.0.91/telnet 
for user ""
%FWSM-5-502103: User priv level changed: Uname: enable_15 From: 1 To: 15
%FWSM-5-111008: User 'enable_15' executed the 'changeto context admin' command.

Primario en el modo múltiple:

%FWSM-1-105044: (Primary) Mate operational mode (Single) is not compatible 
with my mode (Multi).
%FWSM-1-105001: (Primary) Disabling failover.

Mensajes de Syslog relacionados: 105044, 103001, 105001

Dos FWSM llegan a ser activos

Cuando usted ve este mensaje de error en el registro:

fw_create_pc_sw: fw_create_portchannel failed

La razón de este error es porque la cantidad recomendada de canales del puerto en el Switch excedió el máximo (el 128 es máximo en Cisco IOS Software release12.2(33)SXH4 en Cat6000/6500). Por lo tanto, se está agotando el límite del Interface Descriptor Block (IDB).

Debido a esto, usted puede ser que termine para arriba con estos dos problemas:

  • Cuando usted tiene dos Switches con los módulos FWSM cada uno a actuar como activo y espera, dos módulos FWSM llegan a ser activos al mismo tiempo.

  • Usted no puede crear un canal del puerto adicional.

Como parte de resolver el problema, borre los canales del puerto que no son necesarios y recargue los FWSM.

Discrepancia de VLAN

Problema

El FWSM recibe este mensaje de error: “Detectó la Conmutación por falla a un compañero” “de las discrepancias de configuración activas de Vlanserá inhabilitado”.

O

La configuración de los módulos firewall service y la configuración del switch correspondiente aparecen ser completas. Sin embargo, los FWSM no pueden sincronizarse. Este mensaje se recibe en el host secundario:

State check detected an Active mate

        Unable to verify vlan configuration with mate.
        Check that mate's failover is enabled

        No Response from Mate

O

La salida del comando show failover muestra que el estado de fallla en el módulo secundario está apagado, estado de la Conmutación por falla FWSM en la Conmutación por falla apagado (pseudo-espera).

FWSM-secondary(config)#show failover
Failover Off (pseudo-Standby)

Solución

El problema pudo ser la asignación VLAN de la discordancía a través del Firewall (los FWSM y los supervisores). Por ejemplo, en la declaración del grupo VLAN 1 del Firewall, el mismo número de VLA N asignados en cada Switch al Firewall puede variar. Esto pudo causar el problema. Si usted asigna el mismo número de VLA N en el Firewall, después la Conmutación por falla trabajará.

Para evitar conseguir un error de la discordancía de la configuración de VLAN, la salida del comando show vlan debe ser idéntica en ambos FWSM. Este mensaje de error ocurre solamente cuando usted modifica o carga la configuración de failover en el FWSM. Por ejemplo, cuando un FWSM inicia carga los lanzamiento-config del flash e intenta inicializar la Conmutación por falla. Ahora, marca para aseegurarse ambos módulos está recibiendo los VLA N correctos. Si los VLA N no hacen juego, se visualiza el mensaje de error y los restos de la Conmutación por falla inhabilitados.

Nota: Para que la Conmutación por falla trabaje, el FWSM requiere las configuraciones idénticas y las asignaciones de puertos. Es posible hacer la Conmutación por falla del inter-chasis, pero cada VLA N asignado al Firewall debe estar en el trunk entre los dos chasis.

El FWSM no incluye ninguna interfaces físicas externa. En lugar, utiliza las interfaces VLAN. La asignación de los VLA N al FWSM es similar a asignar un VLA N a un puerto del switch. El FWSM incluye una interfaz interna al módulo switch fabric (si presente) o al bus compartido. Para más información, refiera a asignar los VLA N al Módulo de servicios del Firewall.

Sea consciente que la asignación del VLA N puede conseguir modificada durante una configuración de trabajo FWSM y fallará durante el inicio siguiente.

Se inhabilita la Conmutación por falla

Cuando usted inhabilita la Conmutación por falla usando el comando no failover, mantienen al estado actual de la unidad (si es activo o espera) hasta la unidad consigue recargado. Esto se utiliza para inhabilitar solamente la Conmutación por falla. Para cambiar el estado de la unidad de activo al recurso seguro o vice versa, usted necesita utilizar el comando del no failover active.


Información Relacionada


Document ID: 100871