Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

Ejemplo de configuración de failover tras error de unidad activa a unidad en espera de PIX/ASA 7.x

21 Mayo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (4 Noviembre 2009) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Productos relacionados
      Convenciones
Failover tras error de unidad activa a unidad en espera
      Información general de la failover tras error de unidad activa a unidad en espera
      Estado primario/secundario y estado activo/en espera
      Inicialización del dispositivo y sincronización de la configuración
      Réplica de comandos
      Disparadores de failover tras error
      Acciones de failover tras error
Failover tras error normal y con estado
      Failover tras error normal
      Failover tras error con estado
Configuración de failover tras error de unidad activa a unidad en espera basada en cable
      Diagrama de la red
      Configuraciones
Configuración de failover tras error de unidad activa a unidad en espera basada en LAN
      Diagrama de la red
      Configuración de la unidad primaria
      Configuración de la unidad secundaria
      Configuraciones
Verificación de configuración de failover tras error basada en cable
      Uso del comando show failover
      Visualización de interfaces supervisadas
      Visualización de los comandos failover en la configuración en ejecución
      Pruebas de funcionalidad de la failover tras error
      Failover tras error forzada
      Failover tras error desactivada
      Restauración de una unidad que ha fallado
Resolución de problemas
      Mensajes del sistema de failover tras error
      Mensajes de depuración
      SNMP
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

La configuración de failover tras error requiere dos dispositivos de seguridad idénticos conectados el uno al otro mediante un enlace de failover tras error dedicado y, opcionalmente, un enlace de failover tras error con estado. Se supervisa el estado de las interfaces y unidades activas para determinar si se cumplen determinadas condiciones de failover tras error. Si se cumplen dichas condiciones, se produce la failover tras error.

El dispositivo de seguridad admite dos configuraciones de failover tras error, Failover tras error de unidad activa a unidad activa y Failover tras error de unidad activa a unidad en espera. Cada configuración de failover tras error tiene su propio método para determinar y realizar la failover tras error. Con la failover tras error de unidad activa a unidad activa, ambas unidades pueden transferir tráfico de red. Esto permite configurar el equilibrio de carga de la red. La failover tras error de unidad activa a unidad activa sólo está disponible en las unidades que se ejecutan en modo de contexto múltiple. Con failover tras error de unidad activa a unidad en espera, solamente una unidad transfiere tráfico mientras que la otra permanece en estado de espera. La failover tras error de unidad activa a unidad en espera está disponible en las unidades que se ejecutan en modo de contexto único o múltiple. Ambas configuraciones de failover tras error admiten migraciones tras error con estado o sin estado (normal).

Este documento se centra en cómo configurar una failover tras error de unidad activa a unidad en espera en un dispositivo de seguridad PIX.

Nota: La failover tras error de VPN no se admite en unidades que se ejecutan en modo de contexto múltiple. La failover tras error de VPN está disponible para configuraciones de failover tras error de unidad activa a unidad en espera solamente.

Esta guía de configuración proporciona una configuración de ejemplo para incluir una breve introducción a la tecnología de failover tras error de PIX/ASA 7.x. Consulte Cisco Security Appliance Command Reference, Version 7.2 (Referencia de comandos para dispositivos de seguridad de Cisco, versión 7.2) para conocer mejor el significado de la teoría basada en esta tecnología.

Requisitos previos

Requerimientos

Requerimiento de hardware

Las dos unidades de una configuración de failover tras error deben tener la misma configuración de hardware. Deben ser el mismo modelo, tener el mismo número y tipos de interfaces, así como la misma cantidad de RAM.

Nota: No es necesario que las dos unidades tengan el mismo tamaño de memoria Flash. Si utiliza unidades con distintos tamaños de memoria Flash en la configuración de failover tras error, asegúrese de que la unidad con la menor cantidad de memoria Flash tiene suficiente espacio para albergar los archivos de imagen del software y los archivos de configuración. Si no es así, falla la sincronización de la configuración de la unidad con la mayor cantidad de memoria Flash a la unidad con la menor cantidad de memoria Flash.

Requerimiento de software

Las dos unidades de una configuración de failover tras error deben tener uno de los modos operativos (enrutada o transparente, contexto único o múltiple). Deben tener la misma versión principal (primer número) y versión secundaria (segundo número) de software, pero puede utilizar distintas versiones del software en un proceso de actualización; por ejemplo, puede actualizar una unidad de la versión 7.0(1) a la versión 7.0(2) manteniendo la failover tras error activa. Se recomienda actualizar ambas unidades a la misma versión para garantizar la compatibilidad a largo plazo.

Requerimientos de licencia

En la plataforma de dispositivos de seguridad PIX, al menos una de las unidades debe tener una licencia sin restricciones (UR).

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware:

  • Dispositivo de seguridad PIX con la versión 7.x

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos relacionados

Esta configuración también se puede utilizar con las siguientes versiones de hardware y software:

  • ASA con la versión 7.x

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Failover tras error de unidad activa a unidad en espera

Esta sección describe la failover tras error de unidad activa a unidad en espera e incluye los siguientes temas:

Información general de la failover tras error de unidad activa a unidad en espera

La failover tras error de unidad activa a unidad en espera permite utilizar un dispositivo de seguridad en espera para asumir la funcionalidad de una unidad que ha fallado. Cuando la unidad activa falla, cambia al estado de espera mientras que la unidad en espera cambia al estado activo. La unidad que se convierte en activa asume las direcciones IP (o bien, para un firewall transparente, la dirección IP de administración) y las direcciones MAC de la unidad que ha fallado y empieza a transferir tráfico. La unidad que ahora está en estado de espera asume las direcciones IP y MAC de la unidad en espera. Puesto que los dispositivos de red no ven ningún cambio en la asignación de pares de direcciones MAC a IP, ningún se produce ningún cambio de las entradas ARP o tiempo de espera en la red.

Nota: Para el modo de contexto múltiple, el dispositivo de seguridad puede migrar tras el error toda la unidad (que incluye todos los contextos) pero no se puede hacer failover para contextos individuales.

Estado primario/secundario y estado activo/en espera

Las principales diferencias entre las dos unidades de un par de failover tras error están relacionadas con la unidad que esté activa y la que esté en espera, concretamente las direcciones IP que se van a utilizar y la unidad que transfiere principalmente y de forma activa el tráfico.

Existen algunas diferencias entre las unidades en función de la que sea primaria (según lo especificado en la configuración) y la que sea secundaria:

  • La unidad primaria siempre se convierte en la unidad activa si se inician ambas unidades al mismo tiempo (y tienen el mismo estado operativo).

  • La dirección MAC de la unidad primaria siempre se asocia a las direcciones IP activas. La excepción a esta regla se produce cuando la unidad secundaria está activa y no puede obtener la dirección MAC primaria a través del enlace de failover tras error. En este caso, se utiliza la dirección MAC secundaria.

Inicialización del dispositivo y sincronización de la configuración

La sincronización de configuraciones se produce cuando se inician uno o ambos dispositivos del par de failover tras error. Las configuraciones se sincronizan siempre de la unidad activa a la unidad en espera. Cuando la unidad en espera termina la activación inicial, borra su configuración en ejecución (excepto la de los comandos failover que son necesarios para la comunicación con la unidad activa) y la unidad activa le envía su configuración completa.

La unidad activa se determina mediante los siguientes aspectos:

  • Si una unidad se inicia y detecta un par ya operativo como activo, éste se convierte en la unidad activa.

  • Si una unidad se inicia y no detecta un par, se convierte en la unidad activa.

  • Si las dos unidades se inician simultáneamente, la unidad primaria se convierte en la unidad activa y la secundaria en la unidad en espera.

Nota: Si la unidad secundaria se inicia y no detecta la unidad primaria, se convierte en la unidad activa. Ésta utiliza sus propias direcciones MAC como direcciones IP activas. Cuando la unidad primaria está disponible, la unidad secundaria cambia las direcciones MAC a las de la unidad primaria, lo que puede provocar una interrupción en el tráfico de la red. Para evitar esto, configure el par de failover tras error con las direcciones MAC virtuales. Consulte la sección "Configuración de failover tras error de unidad activa a unidad en espera basada en cable" para obtener más información.

Cuando se inicia la réplica, la consola del dispositivo de seguridad de la unidad activa muestra el mensaje "Beginning configuration replication: Sending to mate" (Iniciando réplica de configuración: enviando a par) y cuando finaliza, muestra el mensaje "End Configuration Replication to mate" (Réplica de configuración finalizada para par). En la réplica, los comandos introducidos en la unidad activa no se pueden replicar correctamente en la unidad en espera, y los comandos introducidos en la unidad en espera se pueden anular debido a la configuración que se replica de la unidad activa. No introduzca comandos en ninguna de las unidades del par de failover tras error durante el proceso de réplica de la configuración. Según el tamaño de la configuración, la réplica puede tardar desde unos segundos a varios minutos.

En la unidad secundaria, puede observar el mensaje de réplica (a medida que se sincroniza) de la unidad primaria:

pix> .

        Detected an Active mate
Beginning configuration replication from mate.
End configuration replication from mate.

pix>

En la unidad en espera, la configuración sólo existe en la memoria en ejecución. Para guardar la configuración en memoria Flash después de la sincronización, introduzca estos comandos:

  • Para un modo de contexto único, introduzca el comando copy running-config startup-config en la unidad activa. El comando se replica en la unidad en espera, que procede a escribir su configuración en la memoria Flash.

  • Para un modo de contexto múltiple, introduzca el comando copy running-config startup-config en la unidad activa desde el espacio de ejecución del sistema y dentro de cada contexto en el disco. El comando se replica en la unidad en espera, que procede a escribir su configuración en la memoria Flash. Se puede acceder a los contextos con configuraciones de inicio en servidores externos desde cualquiera de estas unidades en la red y no es necesario guardarlos de forma independiente para cada unidad. Si lo desea, puede copiar los contextos del disco desde la unidad activa al servidor externo y, a continuación, copiarlos en el disco de la unidad en espera, donde estarán disponibles cuando la unidad se vuelve a cargar.

Réplica de comandos

La réplica de comandos siempre fluye desde la unidad activa a la unidad en espera. A medida que se introducen los comandos en la unidad activa, se envían a través del enlace de failover tras error a la unidad en espera. No tiene que guardar la configuración activa en la memoria Flash para replicar los comandos.

Nota: Los cambios realizados en la unidad en espera no se replican en la unidad activa. Si introduce un comando en la unidad en espera, el dispositivo de seguridad muestra el mensaje **** WARNING **** Configuration Replication is NOT performed from Standby unit to Active unit (ADVERTENCIA: La réplica de configuración NO se ha realizado de la unidad en espera a la unidad activa). Las configuraciones dejan de estar sincronizadas. Este mensaje se muestra aunque introduzca comandos que no afectan a la configuración.

Si introduce el comando write standby en la unidad activa, la unidad en espera borra la configuración en ejecución (excepto la de los comandos failover que se utiliza para la comunicación con la unidad activa) y la unidad activa envía su configuración completa a la unidad en espera.

Para un modo de contexto múltiple, si introduce el comando write standby en el espacio de ejecución del sistema, todos los contextos se replican. Si introduce el comando write standby en un contexto, el comando replica sólo la configuración del contexto.

Los comandos replicados se almacenan en la configuración en ejecución. Para guardar los comandos replicados en la memoria Flash en la unidad en espera, introduzca estos comandos:

  • Para un modo de contexto único, introduzca el comando copy running-config startup-config en la unidad activa. El comando se replica en la unidad en espera, que procede a escribir su configuración en la memoria Flash.

  • Para un modo de contexto múltiple, introduzca el comando copy running-config startup-config en la unidad activa desde el espacio de ejecución del sistema y dentro de cada contexto en el disco. El comando se replica en la unidad en espera, que procede a escribir su configuración en la memoria Flash. Se puede acceder a los contextos con configuraciones de inicio en servidores externos desde cualquiera de estas unidades en la red y no es necesario guardarlos de forma independiente para cada unidad. Si lo desea, puede copiar los contextos en el disco desde la unidad activa al servidor externo y, a continuación, copiarlos en el disco de la unidad en espera.

Disparadores de failover tras error

La unidad puede fallar si se produce unos de estos casos:

  • La unidad tiene un fallo de hardware o de alimentación.

  • La unidad tiene un fallo de software.

  • Fallo de demasiadas interfaces supervisadas.

  • El comando no failover active se introduce en la unidad activa, o bien el comando failover active se introduce en la unidad en espera.

Acciones de failover tras error

En la failover tras error de unidad activa a unidad en espera, la failover tras error se produce de una en una. Incluso en sistemas que se ejecutan en modo de contexto múltiple, no se puede realizar la failover tras error de contextos individuales o en grupo.

Esta tabla muestra la acción de failover tras error para cada caso de error. Para cada caso de error, la tabla muestra la política de failover tras error (realización o no de failover tras error), la acción que desempeña la unidad activa, la acción de desempeña la unidad en espera y cualquier nota especial sobre la condición y las acciones de failover tras error. La tabla muestra el comportamiento de failover tras error.

Caso de error

Política

Acción unidad activa

Acción unidad en espera

Notas

Fallo en la unidad activa (alimentación o hardware)

Failover tras error

n/a

Pasa a activa; marca la activa como fallida

No se reciben mensajes de saludo en ninguna interfaz supervisada ni en el enlace de failover tras error.

La unidad activa anterior se recupera

Sin failover tras error

Pasa a en espera

Sin acción

Ninguna

Fallo en la unidad en espera (alimentación o hardware)

Sin failover tras error

Marca la unidad en espera como fallida

n/a

Cuando la unidad en espera se marca como fallida, la unidad activa no intenta realizar la failover tras error, incluso aunque se sobrepase en umbral de fallo.

Enlace de failover tras error fallido durante el funcionamiento

Sin failover tras error

Marca la interfaz de failover tras error como fallida

Marca la interfaz de failover tras error como fallida

Se debe restaurar el enlace de failover tras error lo antes posible, ya que la unidad no puede realizar la failover tras error a la unidad en espera mientras dicho enlace esté desactivado.

Fallo en el enlace de failover tras error en el inicio

Sin failover tras error

Marca la interfaz de failover tras error como fallida

Pasa a activa

Si el enlace de failover tras error está desconectado en el inicio, las dos unidades se convierten en activas.

Fallo en el enlace de failover tras error con estado

Sin failover tras error

Sin acción

Sin acción

La información del estado no se actualiza y las sesiones finalizan si se produce una failover tras error.

Fallo de interfaz en la unidad activa por encima del umbral

Failover tras error

Marca la unidad activa como fallida

Pasa a activa

Ninguna

Fallo de interfaz en la unidad en espera por encima del umbral

Sin failover tras error

Sin acción

Marca la unidad en espera como fallida

Cuando la unidad en espera se marca como fallida, la unidad activa no intenta realizar la failover tras error, incluso aunque se sobrepase en umbral de fallo.

Failover tras error normal y con estado

El dispositivo de seguridad admite dos tipos de failover tras error: normal y con estado. Esta sección incluye los siguientes temas:

Failover tras error normal

Cuando se produce una failover tras error, todas las conexiones activas se interrumpen. Los clientes tienen que restablecer las conexiones cuando la nueva unidad activa toma el control.

Failover tras error con estado

Cuando la failover tras error con estado se activa, la unidad activa transmite continuamente información de estado por conexión a la unidad en espera. Después de una failover tras error, la misma información de conexión está disponible en la nueva unidad activa. Las aplicaciones de usuario final admitidas no son necesarias para volver a conectar a fin de mantener la misma sesión de comunicación.

La información de estado que se transmite a la unidad en espera incluye:

  • La tabla de traducción NAT

  • Los estados de conexión de TCP

  • Los estados de conexión de UDP

  • La tabla ARP

  • La tabla de puentes de la capa 2 (cuando se ejecuta en el modo de firewall transparente)

  • Los estados de conexión de HTTP (si se activa la réplica de HTTP)

  • La tabla de SA de ISAKMP e IPSec

  • La base de datos de la conexión PDP en GTP

La información que no se transmite a la unidad en espera cuando se activa la failover tras error con estado incluye:

  • La tabla de conexión HTTP (a menos que se active la réplica de HTTP)

  • La tabla de autenticación de usuario (uauth)

  • Las tablas de enrutamientos

  • La información de estado para los módulos de servicio de seguridad

Nota: Si se produce la failover tras error en una sesión activa de Cisco IP SoftPhone, la llamada permanece activa porque la información del estado de la sesión de la llamada se replica en la unidad en espera. Cuando la llamada finaliza, el cliente de IP SoftPhone pierde la conexión con CallManager. Esto es debido a que no hay información de la sesión para el mensaje CTIQBE al colgar en la unidad en espera. Cuando el cliente de IP SoftPhone no recibe una respuesta de CallManager en un cierto período de tiempo, considera que no puede acceder a CallManager y anula el registro de sí mismo.

Configuración de failover tras error de unidad activa a unidad en espera basada en cable

Diagrama de la red

En este documento se utiliza la siguiente configuración de red:

failover.gif

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Siga estos pasos para configurar la failover tras error de unidad activa a unidad en espera con un cable serie como el enlace de la failover tras error. Los comandos en esta tarea se introducen en la unidad primaria en el par de failover tras error. La unidad primaria es la que tiene un extremo del cable con la etiqueta "Primary" (Primaria) pegada. Para dispositivos en un modo de contexto múltiple, los comandos se introducen en el espacio de ejecución, a no ser que se indique de otra manera.

No es necesario que la unidad secundaria realice la rutina de arranque en el par de failover tras error basada en cable. Deje la unidad secundaria apagada hasta que se le indique que se encienda.

La failover tras error basada en cable sólo está disponible en la plataforma de dispositivos de seguridad PIX.

Para configurar la failover tras error de unidad activa a unidad en espera basada en cable, siga estos pasos:

  1. Conecte el cable de failover tras error a los dispositivos de seguridad PIX. Asegúrese de que acopla el extremo del cable marcado con "Primary" (Primaria) a la unidad que utiliza como unidad primaria y el extremo del cable marcado con "Secondary" (Secundaria) a la otra unidad.

  2. Encienda la unidad primaria.

  3. Si no aún no lo ha hecho, configure las direcciones IP activa y en espera para cada interfaz de datos (modo enrutado) o para la interfaz de administración (modo transparente). La dirección IP en espera se utiliza en el dispositivo de seguridad que actualmente es la unidad en espera. Debe estar en la misma subred que la dirección IP activa.

    Nota: No configure una dirección IP para enlace de failover tras error con estado si utiliza una interfaz de failover tras error con estado dedicada. Utilizará el comando failover interface ip para configurar una interfaz de failover tras error con estado dedicada en un paso posterior.

    hostname(config-if)#ip address <active_addr> <netmask> standby <standby_addr>

    En el ejemplo, la interfaz externa del PIX primario se configura de esta manera:

    hostname(config-if)#ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2

    Aquí, se utiliza 172.16.1.1 para la dirección IP de la interfaz externa de la unidad primaria y 172.16.1.2 se asigna a la interfaz externa de la unidad secundaria (en espera).

    Nota: En modo de contexto múltiple, debe configurar las direcciones de interfaz desde cada contexto. Utilice el comando changeto context para pasar de un contexto a otro. El símbolo del sistema cambia a hostname/context(config-if)#, donde context es el nombre del contexto actual.

  4. Para activar la failover tras error con estado, configure el enlace de failover tras error con estado.

    1. Especifique la interfaz que va a utilizar como enlace de failover tras error con estado.

       hostname(config)#failover link if_name phy_if

      En este ejemplo la interfaz Ethernet2 se utiliza para intercambiar la información de estado del enlace de failover tras error con estado.

      hostname(config)#failover link state Ethernet2

      El argumento nameif asigna un nombre lógico a la interfaz que especifica el argumento phy_if . El argumento phy_if puede ser el nombre del puerto físico, como Ethernet1, o bien una interfaz creada previamente, como Ethernet0/2.3. Esta interfaz no se debe utilizar para ningún otro fin.

    2. Asigne una dirección IP activa y en espera al enlace de failover tras error con estado:

      hostname(config)# failover interface ip <if_name> <ip_addr> <mask> standby <ip_addr>
      
      

      En este ejemplo, 10.0.0.1 se utiliza como dirección IP activa y 10.0.0.2 se utiliza como dirección IP en espera para el enlace de failover tras error con estado.

      hostname(config)# failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2

      Nota: Si el enlace de failover tras error con estado utiliza una interfaz de datos, omita este paso. Ya están definidas las direcciones IP activa y en espera para la interfaz.

      La dirección IP en espera debe estar en la misma subred que la dirección IP activa. No es necesario identificar la máscara de subred de la dirección IP en espera.

      La dirección IP del enlace de failover tras error con estado y la dirección MAC no cambian en la failover tras error, a no ser que utilicen una interfaz de datos. La dirección IP activa siempre permanece con la unidad primaria, mientras que la dirección IP en espera permanece con la unidad secundaria.

    3. Active la interfaz:

      hostname(config)# interface phy_if
      
      hostname(config-if)# no shutdown
  5. Active la failover tras error:

    hostname(config)# failover
  6. Encienda la unidad secundaria y active la failover tras error en la unidad si no está todavía activada:

    hostname(config)# failover

    La unidad activa envía la configuración en la memoria en ejecución a la unidad en espera. A medida que la configuración se sincroniza, aparecen los mensajes "Beginning configuration replication: sending to mate" (Iniciando réplica de configuración: enviando a par) y "End Configuration Replication to mate" (Réplica de configuración finalizada para par) en la consola primaria.

  7. Guarde la configuración en la memoria Flash de la unidad primaria. Como los comandos que se introducen en la unidad primaria se replican en la unidad secundaria, la unidad secundaria también guarda su configuración en la memoria Flash.

    hostname(config)# copy running-config startup-config

    Nota: Utilice la herramienta Command Lookup Tool (sólo para clientes registrados) para obtener más información acerca de los comandos utilizados en esta sección.

Configuraciones

En este documento se utilizan las siguientes configuraciones:

PIX

pix#show running-config
 PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!

!--- Configure "no shutdown" in the stateful failover interface
!--- of both Primary and secondary PIX.


interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list 101 extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
failover
failover link state Ethernet2
failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2
asdm image flash:/asdm-521.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list 101
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
!

!--- Output Suppressed

!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Configuración de failover tras error de unidad activa a unidad en espera basada en LAN

Diagrama de la red

En este documento se utiliza la siguiente configuración de red:

failover-lan.gif

Esta sección describe cómo configurar la failover tras error de unidad activa a unidad en espera con un enlace de failover tras error en Ethernet. Cuando configure una failover tras error basada en LAN, debe ejecutar la rutina de arranque del dispositivo secundario para que reconozca el enlace de failover tras error, antes de que el dispositivo secundario pueda obtener la configuración en ejecución del dispositivo principal.

Nota: Si cambia de failover tras error basada en cable a failover tras error basada en LAN, puede omitir muchos de los pasos que siguió para configurar la failover tras error basada en cable, como la asignación de direcciones IP activa y en espera a cada interfaz.

Configuración de la unidad primaria

Siga estos pasos para configurar la unidad primaria con una configuración de failover tras error de unidad activa a unidad en espera basada en LAN. Estos pasos proporcionan la configuración mínima necesaria para activar la failover tras error en la unidad primaria. Para un modo de contexto múltiple, todos los pasos se realizan en el espacio de ejecución del sistema, a no ser que se indique de otra forma.

Para configurar la unidad primaria en un par de failover tras error de unidad activa a unidad en espera, siga estos pasos:

  1. Si no aún no lo ha hecho, configure las direcciones IP activa y en espera para cada interfaz (modo enrutado) o para la interfaz de administración (modo transparente). La dirección IP en espera se utiliza en el dispositivo de seguridad que actualmente es la unidad en espera. Debe estar en la misma subred que la dirección IP activa.

    Nota: No configure una dirección IP para enlace de failover tras error con estado si utiliza una interfaz de failover tras error con estado dedicada. Utilizará el comando failover interface ip para configurar una interfaz de failover tras error con estado dedicada en un paso posterior.

    hostname(config-if)# ip address active_addr netmask standby standby_addr

    En este ejemplo, la interfaz externa del PIX primario se configura de esta manera:

    hostname(config-if)# ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2

    Aquí, se utiliza 172.16.1.1 para la dirección IP de la interfaz externa de la unidad primaria y 172.16.1.2 se asigna a la interfaz externa de la unidad secundaria (en espera).

    Nota: En modo de contexto múltiple, debe configurar las direcciones de interfaz desde cada contexto. Utilice el comando changeto context para pasar de un contexto a otro. El símbolo del sistema cambia a hostname/context(config-if)#, donde context es el nombre del contexto actual.

  2. Active la failover tras error basada en LAN (sólo en la plataforma de dispositivos de seguridad PIX).

    hostname(config)# failover lan enable
  3. Designe la unidad como unidad primaria.

    hostname(config)# failover lan unit primary
  4. Defina la interfaz de failover tras error.

    1. Especifique la interfaz que va a utilizar como interfaz de failover tras error.

      hostname(config)# failover lan interface if_name phy_if

      En este documento, "failover" (nombre de la interfaz en Ethernet3) se utiliza para una interfaz de failover tras error.

      hostname(config)# failover lan interface failover Ethernet3

      El argumento if_name asigna un nombre a la interfaz que especifica el argumento phy_if . El argumento phy_if puede ser el nombre del puerto físico, como Ethernet1, o bien una interfaz creada previamente, como Ethernet0/2.3.

    2. Asigne la dirección IP activa y en espera al enlace de failover tras error:

      hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr

      En este documento, para configurar el enlace de failover tras error, se utiliza 10.1.0.1 para la unidad activa, 10.1.0.2 para la unidad en espera y "failover" es un nombre de interfaz en Ethernet3.

      hostname(config)# failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2

      La dirección IP en espera debe estar en la misma subred que la dirección IP activa. No es necesario identificar la máscara de subred de la dirección en espera.

      La dirección de MAC e IP del enlace de failover tras error no cambian en la failover. La dirección IP activa para el enlace de failover tras error siempre permanece con la unidad primaria, mientras que la dirección IP en espera permanece con la unidad secundaria.

    3. Active la interfaz:

      hostname(config)# interface phy_if
      
      hostname(config-if)# no shutdown

      En el ejemplo, Ethernet3 se utiliza para la failover tras error:

      hostname(config)# interface ethernet3
      
      hostname(config-if)# no shutdown
  5. (Opcional) Para activar la failover tras error con estado, configure el enlace de failover tras error con estado.

    1. Especifique la interfaz que va a utilizar como enlace de failover tras error con estado.

      hostname(config)# failover link if_name phy_if

      Este ejemplo utiliza "state" como nombre de la interfaz en Ethernet2 para intercambiar la información de estado del enlace de failover tras error:

      hostname(config)# failover link state Ethernet2

      Nota: Si el enlace de failover tras error con estado utiliza el enlace de failover tras error o una interfaz de datos, sólo es necesario introducir el argumento if_name.

      El argumento if_name asigna un nombre lógico a la interfaz que especifica el argumento phy_if. El argumento phy_if puede ser el nombre del puerto físico, como Ethernet1, o bien una interfaz creada previamente, como Ethernet0/2.3. Esta interfaz no se debe utilizar para ningún otro propósito, excepto, opcionalmente, como el enlace de failover tras error.

    2. Asigne una dirección IP activa y en espera al enlace de failover tras error con estado.

      Nota: Si el enlace de failover tras error con estado utiliza el enlace de failover tras error o la interfaz de datos, omita este paso. Ya están definidas las direcciones IP activa y en espera para la interfaz.

      hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr

      En este ejemplo, se utiliza 10.0.0.1 como dirección IP activa y 10.0.0.2 como dirección IP en espera para el enlace de failover tras error con estado.

      hostname(config)# failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2

      La dirección IP en espera debe estar en la misma subred que la dirección IP activa. No es necesario identificar la máscara de subred de la dirección en espera.

      La dirección IP del enlace de failover tras error con estado y la dirección MAC no cambian en la failover tras error, a no ser que utilicen una interfaz de datos. La dirección IP activa siempre permanece con la unidad primaria, mientras que la dirección IP en espera permanece con la unidad secundaria.

    3. Active la interfaz.

      Nota: Si el enlace de failover tras error con estado utiliza el enlace de failover tras error o la interfaz de datos, omita este paso. Ya ha activado la interfaz.

      hostname(config)# interface phy_if
      
      hostname(config-if)# no shutdown

      Nota: Por ejemplo, en este escenario, Ethernet2 se utiliza para el enlace de failover tras error con estado:

      hostname(config)# interface ethernet2
      
      hostname(config-if)# no shutdown
  6. Active la failover tras error.

    hostname(config)# failover
  7. Guarde la configuración del sistema en la memoria Flash.

    hostname(config)# copy running-config startup-config

Configuración de la unidad secundaria

La única configuración necesaria en la unidad secundaria es para la interfaz de failover tras error. La unidad secundaria necesita estos comandos para comunicarse inicialmente con la unidad primaria. Después de que la unidad primaria envía su configuración a la unidad secundaria, la única diferencia permanente entre las dos configuraciones en el comando failover lan unit, que identifica cada unidad como principal o secundaria.

Para un modo de contexto múltiple, todos los pasos se realizan en el espacio de ejecución del sistema, a no ser que se indique de otra forma.

Para configurar la unidad secundaria, siga estos pasos:

  1. Active la failover tras error basada en LAN (sólo en la plataforma de dispositivos de seguridad PIX).

    hostname(config)# failover lan enable
  2. Defina la interfaz de failover tras error. Utilice la misma configuración que utilizó para la unidad primaria.

    1. Especifique la interfaz que va a utilizar como interfaz de failover tras error.

      hostname(config)# failover lan interface if_name phy_if

      En este documento, "failover" (nombre de la interfaz en Ethernet3) se utiliza para una interfaz de failover tras error LAN.

      hostname(config)# failover lan interface failover Ethernet3

      El argumento if_name asigna un nombre a la interfaz que especifica el argumento phy_if.

    2. Asigne la dirección IP activa y en espera al enlace de failover tras error.

      hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr

      En este documento, para configurar el enlace de failover tras error, se utiliza 10.1.0.1 para la unidad activa, 10.1.0.2 para la unidad en espera y "failover" es un nombre de interfaz en Ethernet3.

      hostname(config)# failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2

      Nota: Introduzca este comando exactamente como lo introdujo en la unidad primaria cuando configuró la interfaz de failover tras error en la unidad primaria.

    3. Active la interfaz.

      hostname(config)# interface phy_if
      
      hostname(config-if)# no shutdown

      Por ejemplo, en este escenario, Ethernet3 se utiliza para la failover tras error.

      hostname(config)# interface ethernet3
      
      hostname(config-if)# no shutdown
  3. (Opcional) Designe esta unidad como unidad secundaria.

    hostname(config)# failover lan unit secondary

    Nota: Este paso es opcional ya que, de forma predeterminada, las unidades se designan como secundarias, a no ser que estén configuradas previamente.

  4. Active la failover tras error.

    hostname(config)# failover 

    Nota: Después de activar la failover tras error, la unidad activa envía la configuración de la memoria en ejecución a la unidad en espera. A medida que la configuración se sincroniza, aparecen los mensajes "Beginning configuration replication: Sending to mate" (Iniciando réplica de configuración: enviando a par) y "End Configuration Replication to mate" (Réplica de configuración finalizada para par) en la consola de la unidad activa.

  5. Una vez que la configuración en ejecución ha finalizado la réplica, guarde la configuración en la memoria Flash.

    hostname(config)# copy running-config startup-config

Configuraciones

En este documento se utilizan las siguientes configuraciones:

PIX primario

pix#show running-config
 PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!

!--- Configure "no shutdown" in the stateful failover interface
!--- of both Primary and secondary PIX.


interface Ethernet2
nameif state

	 description STATE Failover Interface

interface ethernet3
nameif failover

  description LAN Failover Interface

!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list 101 extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500

failover
failover lan unit primary
failover lan interface failover Ethernet3
failover lan enable
failover key ******
failover link state Ethernet2
failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2

asdm image flash:/asdm-521.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list 101
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

PIX secundario

pix#show running-config

failover
failover lan unit secondary
failover lan interface failover Ethernet3
failover lan enable
failover key ******
failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2

Verificación de configuración de failover tras error basada en cable

Uso del comando show failover

En esta sección se describe el resultado del comando show failover. En cada unidad, puede verificar el estado de la failover tras error con el comando show failover.

PIX primario

pix# sh failover
Failover On
Cable status: Normal
Failover unit Primary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(1), Mate 7.2(1)
Last Failover at: 06:07:44 UTC Dec 26 2006
        This host: Primary - Active
                Active time: 1905 (sec)
                  Interface outside (172.16.1.1): Normal
                  Interface inside (192.168.1.1): Normal
        Other host: Secondary - Standby Ready
                Active time: 0 (sec)
                  Interface outside (172.16.1.2): Normal
                  Interface inside (192.168.1.2): Normal

Stateful Failover Logical Update Statistics
        Link : state Ethernet2 (down)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         0          0          0          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          0          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       0       0

PIX secundario

pix(config)# sh failover
Failover On
Cable status: Normal
Failover unit Secondary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(1), Mate 7.2(1)
Last Failover at: 00:00:18 UTC Jan 1 1993
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                  Interface outside (172.16.1.2): Normal
                  Interface inside (192.168.1.2): Normal
        Other host: Primary - Active
                Active time: 154185 (sec)
                  Interface outside (172.16.1.1): Normal
                  Interface inside (192.168.1.1): Normal

Stateful Failover Logical Update Statistics
        Link : state Ethernet2 (down)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         0          0          0          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          0          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       0       0

Utilice el comando show failover state para verificar el estado.

PIX primario

pix# sh failover state
====My State===
Primary | Active |
====Other State===
Secondary | Standby |
====Configuration State===
        Sync Done
====Communication State===
        Mac set
=========Failed Reason==============
My Fail Reason:
Other Fail Reason:
        Comm Failure

Unidad secundaria

pix# sh failover state
====My State===
Secondary | Standby |
====Other State===
Primary | Active |
====Configuration State===
        Sync Done - STANDBY
====Communication State===
        Mac set
=========Failed Reason==============
My Fail Reason:
Other Fail Reason:

Para verificar las direcciones IP de la unidad de failover tras error, utilice el comando show failover interface.

Unidad primaria

pix# sh failover interface
        interface state Ethernet2
                System IP Address: 10.0.0.1 255.0.0.0
                My IP Address    : 10.0.0.1
                Other IP Address : 10.0.0.2

Unidad secundaria

pix# sh failover interface
        interface state Ethernet2
                System IP Address: 10.0.0.1 255.0.0.0
                My IP Address    : 10.0.0.2
                Other IP Address : 10.0.0.1

Visualización de interfaces supervisadas

Para ver el estado de las interfaces supervisadas: en modo de contexto único, introduzca el comando show monitor-interface en el modo de configuración global. En modo de contexto múltiple, introduzca el comando show monitor-interface dentro de un contexto.

PIX primario

pix(config)# sh monitor-interface
        This host: Primary - Active
                Interface outside (172.16.1.1): Normal
                Interface inside (192.168.1.1): Normal
        Other host: Secondary - Standby Ready
                Interface outside (172.16.1.2): Normal
                Interface inside (192.168.1.2): Normal

PIX secundario

pix(config)# sh monitor-interface
        This host: Secondary - Standby Ready
                Interface outside (172.16.1.2): Normal
                Interface inside (192.168.1.2): Normal
        Other host: Primary - Active
                Interface outside (172.16.1.1): Normal
                Interface inside (192.168.1.1): Normal

Visualización de los comandos failover en la configuración en ejecución

Para ver los comandos de failover tras error en la configuración en ejecución, introduzca este comando:

hostname(config)# show running-config failover

Se muestran todos los comandos de failover tras error. En unidades que se ejecuten en modo de contexto múltiple, introduzca el comando show running-config failover en el espacio de ejecución del sistema. Introduzca el comando show running-config all failover para ver los comandos de la failover tras error en la configuración en ejecución e incluir los comandos en los que no se ha cambiado el valor predeterminado.

Pruebas de funcionalidad de la failover tras error

Para probar la funcionalidad de la failover tras error, realice estos pasos:

  1. Pruebe que la unidad activa o el grupo de failover tras error transmita tráfico adecuadamente con FTP (por ejemplo) al enviar un archivo entre hosts de interfaces diferentes.

  2. Fuerce una failover tras error en la unidad en espera con este comando:

    • Para una failover tras error de unidad activa a unidad en espera, introduzca este comando en la unidad activa:

      hostname(config)# no failover active
  3. Utilice el FTP para enviar otro archivo entre los dos mismos hosts.

  4. Si la prueba no es correcta, introduzca show failover command para comprobar el estado de la failover tras error.

  5. Cuando termine, puede restaurar la unidad o el grupo de failover tras error al estado activo con este comando:

    • Para una failover tras error de unidad activa a unidad en espera, introduzca este comando en la unidad activa:

      hostname(config)# failover active

Failover tras error forzada

Para forzar que la unidad en espera pase a activa, introduzca uno de estos comandos:

Introduzca este comando en la unidad en espera:

hostname# failover active

Introduzca este comando en la unidad activa:

hostname# no failover active

Failover tras error desactivada

Para desactivar la failover tras error, introduzca este comando:

hostname(config)# no failover

Si desactiva la failover tras error en un par activa/en espera, el estado de activa o en espera de cada unidad se mantiene hasta que las reinicie. Por ejemplo, la unidad en espera permanece en el modo en espera, por lo que ninguna de las dos unidades comienza a transmitir tráfico. Para convertir en activa la unidad en espera (incluso con la failover tras error desactivada), consulte la sección Failover tras error forzada.

Si desactiva la failover tras error en un par activa/activa, los grupos de failover tras error permanecen en estado activo en cualquiera de las unidades en que estén actualmente activados, independientemente de la unidad que tengan configurada como preferencia. El comando no failover se puede introducir en el espacio de ejecución del sistema.

Restauración de una unidad que ha fallado

Para restaurar una unidad defectuosa a un estado no defectuoso, introduzca este comando:

hostname(config)# failover reset

Si restaura la unidad defectuosa a un estado no defectuoso, no se convierte en activa automáticamente; las unidades o grupos restaurados permanecen en el estado en espera hasta que la failover tras error (forzada o natural) los convierta en activos. Sin embargo, un grupo de failover tras error configurado con el comando preempt supone una excepción. Si antes estaba activo, un grupo de failover tras error se convierte en activo si está configurado con el comando preempt y la unidad en la que falle es su unidad preferida.

Resolución de problemas

Cuando se produce una failover tras error, los dos dispositivos de seguridad envían mensajes de sistema. Esta sección incluye los siguientes temas:

  1. Mensajes del sistema de failover tras error

  2. Mensajes de depuración

  3. SNMP

Mensajes del sistema de failover tras error

El dispositivo de seguridad envía una serie de mensajes relacionados con la failover tras error en el nivel 2 de prioridad, que indica una condición crítica. Para ver estos mensajes, consulte Configuración de registro y mensajes de registro del sistema para el dispositivo de seguridad de Cisco (en inglés) para activar el registro y ver los mensajes del sistema.

Nota: Durante la conmutación, la failover tras error apaga las interfaces y las activa a continuación, generando los mensajes de syslog 411001 y 411002. Ésta es la actividad normal.

Mensajes de depuración

Para ver los mensajes de depuración, introduzca el comando debug fover. Consulte Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco) para obtener más información.

Nota: Como el resultado de la depuración tiene asignado alta prioridad en el proceso del CPU, puede afectar significativamente al rendimiento del sistema. Por este motivo, utilice los comandos debug fover sólo para resolver problemas específicos o en sesiones de resolución de problemas con el equipo de soporte técnico de Cisco.

SNMP

Si desea recibir trampas de syslog de SNMP para la failover tras error, configure el agente de SNMP para que envíe trampas de SNMP a las estaciones de administración de SNMP, defina un host de syslog y compile la Cisco syslog MIB en su estación de administración SNMP. Consulte los comandos snmp-server y logging en Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco) para obtener más información.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 77809