Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

PIX/ASA 7.x: Ejemplo de configuración de conmutación por error activa/activa

23 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (4 Noviembre 2009) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Productos relacionados
     Convenciones
Conmutación activa/activa
     Información general de la conmutación por error activa/activa
     Estado principal/secundario y estado activo/en espera
     Inicialización del dispositivo y sincronización de la configuración
     Réplica de comandos
     Activadores de conmutación por error
     Acciones de conmutación por error
Conmutación por error con estado y normal
     Conmutación por error normal
     Conmutación por error con estado
Limitaciones de la configuración de conmutación por error
     Funciones no admitidas
Configuración de conmutación por error activa/activa basada en cable
     Requisitos previos
     Diagrama de la red
     Configuraciones
Configuración de conmutación por error activa/activa basada en LAN
     Diagrama de la red
     Configuración de la unidad principal
     Configuración de la unidad secundaria
     Configuraciones
Verificación
     Uso del comando show failover
     Visualización de interfaces supervisadas
     Visualización de los comandos de conmutación por error en la configuración en ejecución
     Pruebas de funcionalidad de la conmutación por error
     Conmutación por error aplicada
     Conmutación por error deshabilitada
     Restauración de una unidad fallida
Resolución de problemas
     Mensajes del sistema de conmutación por error
     Mensajes de depuración
     SNMP
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

La configuración de conmutación por error requiere dos dispositivos de seguridad idénticos conectados entre sí a través de un enlace de conmutación por error dedicado y, opcionalmente, un enlace de conmutación por error con estado. El estado de las unidades y las interfaces activas se supervisa para determinar si se cumplen las condiciones de conmutación por error específicas. En caso afirmativo, se produce la conmutación por error.

El dispositivo de seguridad admite dos configuraciones de conmutación por error: conmutación por error activa/activa y conmutación por error activa/en espera . Cada configuración tiene su propio método para determinar y realizar la conmutación por error. Con la conmutación por error activa/activa, ambas unidades pueden transmitir tráfico de red. Esto permite configurar el balance de carga en la red. La conmutación por error activa/activa solo está disponible en unidades que se ejecutan en modo de contexto múltiple. Con la conmutación por error activa/en espera, sólo una unidad transmite tráfico, la otra permanece en estado de espera. La conmutación por error activa/en espera únicamente está disponible en unidades que se ejecutan en modo de contexto múltiple o de un solo contexto. Ambas configuraciones admiten la conmutación con estado o sin estado (normal).

Este documento se centra en cómo configurar una conmutación por error activa/activa en el dispositivo de seguridad Cisco PIX/ASA.

Para obtener más información sobre las configuraciones de conmutación por error activa/en espera, consulte PIX/ASA 7.x Active/Standby Failover Configuration Example (Ejemplo de configuración de conmutación por error activa/en espera de PIX/ASA 7.x).

Nota: la conmutación por error VPN no se admite en unidades que se ejecutan en modo de contexto múltiple. Este tipo de conmutación sólo está disponible para las configuraciones de conmutación por error activa/en espera.

En esta guía se proporciona una configuración de ejemplo como breve introducción a la tecnología activa/activa de PIX/ASA 7.x. Para obtener información más detallada sobre la teoría de esta tecnología, consulte la guía de referencia de comandos de PIX/ASA.

Requisitos previos

Requisitos

Requisitos de hardware

Las dos unidades de una configuración de conmutación por error deben tener la misma configuración de hardware. Estas unidades deben ser del mismo modelo y contar con el mismo número y tipos de interfaces, y la misma cantidad de RAM.

Nota: no es necesario que las dos unidades tengan el mismo tamaño de memoria flash. Si utiliza unidades con tamaños distintos en la configuración de conmutación por error, asegúrese de que la unidad de memoria flash más pequeña cuente con espacio suficiente para acomodar los archivos de imagen y los archivos de configuración del software. Si no así, se producirá un error de sincronización de configuración de la unidad con memoria flash más amplia y la unidad con memoria flash más pequeña.

Requisitos de software

Las dos unidades de una configuración de conmutación por error deben encontrarse en modos operativos (enrutado o transparente, contexto único o múltiple). Estas unidades deben contar con la misma versión de software principal (primer número) y secundaria (segundo número), aunque se pueden emplear distintas versiones del software dentro de un proceso de actualización. Por ejemplo, puede actualizar una unidad de la versión 7.0(1) a la 7.0(2) y mantener activa la conmutación por error. Cisco recomienda que actualice ambas unidades a la misma versión para garantizar la compatibilidad a largo plazo.

Requisitos de licencia

En la plataforma del dispositivo de seguridad PIX/ASA, al menos una de las unidades debe tener una licencia ilimitada (UR). La otra puede tener una licencia de conmutación por error sólo activa/activa (FO_AA), o bien otra licencia UR. Las unidades con una licencia limitada no se pueden utilizar para la conmutación por error y dos unidades con licencias FO_AA no se pueden usar de forma conjunta como par de conmutación por error.

Componentes utilizados

La información de este documento se basa en el dispositivo de seguridad PIX con la versión 7.x del software.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

Productos relacionados

Esta configuración también se puede utilizar con ASA versión 7.x.

Nota: la conmutación activa/activa no está disponible en el dispositivo de seguridad adaptable ASA serie 5505.

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Conmutación activa/activa

En esta sección se describe la conmutación por error activa/activa y se incluyen los siguientes temas:

Información general de la conmutación por error activa/activa

La conmutación por error activa/activa solo está disponible en aplicaciones de seguridad en modo de contexto múltiple. En una configuración de conmutación por error activa/activa, ambos dispositivos de seguridad pueden transmitir tráfico de red.

En este proceso de conmutación, los contextos de seguridad se dividen en el dispositivo en grupos de conmutación por error. Un grupo de conmutación por error es simplemente un grupo lógico de uno o varios contextos de seguridad. Se puede crear un máximo de dos grupos en el dispositivo de seguridad. El contexto de administración siempre es un miembro del grupo de conmutación por error 1. De forma predeterminada, todos los contextos de seguridad sin asignar también son miembros del grupo 1.

El grupo de conmutación por error forma la unidad base para el proceso en la conmutación por error activa/activa. La supervisión de errores de interfaz, la conmutación por error y el estado activo/en espera son atributos de un grupo de conmutación por error más que de la unidad. Si falla un grupo, éste cambia al estado en espera mientras que el grupo de conmutación por error en espera se activa. Las interfaces del grupo que pasa a estar activo adquieren las direcciones IP y MAC de las interfaces del grupo de conmutación por error que ha fallado. Las interfaces del grupo que está ahora en espera toman las direcciones IP y MAC en espera.

Nota: que un grupo de conmutación por error falle en una unidad no implica que la propia unidad haya fallado. Puede que la unidad aún tenga otro grupo de conmutación por error que esté transmitiendo tráfico.

Estado principal/secundario y estado activo/en espera

Tal y como sucede en la conmutación por error activa/en espera, en un par de conmutación por error activa/activa, una unidad se designa como la principal y la otra como secundaria. A diferencia de la conmutación por error activa/en espera, esta designación no indica qué unidad se activa cuando ambas se inician simultáneamente. En su lugar, la designación principal/secundaria lleva a cabo dos operaciones:

  • Determina qué unidad proporciona la configuración de ejecución en el par cuando ambas se inician al mismo tiempo.

  • Determina en qué unidad aparece en estado activo cada grupo de conmutación por error cuando las unidades se inician de forma simultánea. Todos los grupos de conmutación por error de la configuración se establecen con una preferencia de unidad principal o secundaria. Se pueden configurar ambos grupos de conmutación por error para que estén en estado activo en una sola unidad del par, mientras que la otra unidad incluye los grupos en espera. No obstante, una configuración más común consiste en asignar a cada grupo una preferencia de rol distinta para activar cada uno de ellos en una unidad diferente, lo que distribuye el tráfico a través de los dispositivos.

    Nota: el dispositivo de seguridad no ofrece servicios de balance de carga. El balance de carga se debe administrar mediante un router que transmita tráfico al dispositivo de seguridad.

La unidad en la que cada grupo de conmutación por error aparece activo se determina de la siguiente manera:

  • Si una unidad se inicia mientras que la unidad par no está disponible, ambos grupos de conmutación por error se activan en la unidad.

  • Si una unidad se inicia mientras que la unidad par está activa (con ambos grupos en estado activo), los grupos de conmutación por error permanecen en estado activo en la unidad activa independientemente de la preferencia principal o secundaria del grupo hasta que suceda uno de los siguientes eventos:

    • Se produce una conmutación por error.

    • El grupo de conmutación por error se aplica manualmente en la otra unidad con el comando no failover active.

    • El grupo de conmutación por error se ha configurado con el comando preempt, lo que implica que el grupo se activa automáticamente en la unidad preferida cuando ésta se encuentra disponible.

  • Si ambas unidades se inician al mismo tiempo, todos los grupos de conmutación por error se activarán en su unidad preferida una vez sincronizadas las configuraciones.

Inicialización del dispositivo y sincronización de la configuración

La sincronización de la configuración se produce cuando se inician una o ambas unidades en un par de conmutación por error. La sincronización se lleva a cabo del siguiente modo:

  • Cuando una unidad se inicia mientras que la unidad par está activa (con ambos grupos en estado activo), la unidad de inicio entra en contacto con la unidad activa para obtener la configuración en ejecución independientemente de la designación principal o secundaria de la unidad de inicio.

  • Cuando ambas unidades se inician al mismo tiempo, la secundaria obtiene la configuración en ejecución de la principal.

Cuando se inicia la réplica, la consola del dispositivo de seguridad de la unidad que envía la configuración muestra el siguiente mensaje: Beginning configuration replication: Sending to mate. Cuando finaliza, el dispositivo de seguridad muestra este mensaje: End Configuration Replication to mate. Durante la réplica, es posible que los comandos ejecutados en la unidad que envía la configuración no se repliquen correctamente en la unidad par y que los comandos ejecutados en la unidad que recibe la configuración se sobrescriban con los parámetros recibidos. Evite la ejecución de comandos en cualquier unidad del par de conmutación por error durante el proceso de réplica de la configuración. Este proceso puede durar desde unos pocos segundos a varios minutos, dependiendo del tamaño de la configuración.

En la unidad que recibe la configuración, ésta sólo existe en memoria en ejecución. Para guardar la configuración en la memoria flash tras la sincronización, ejecute el comando write memory all en el espacio de ejecución del sistema de la unidad que tenga activo el grupo de conmutación por error 1. El comando se replica en la unidad par, que pasa a escribir su configuración en la memoria flash. Si la palabra clave all se usa con este comando, todas las configuraciones de contexto y el sistema se guardarán.

Nota: se puede acceder a las configuraciones de inicio guardadas en servidores externos desde cualquier unidad a través de la red y no es necesario guardarlas de forma separada para cada unidad. También se pueden copiar los archivos de configuración de contextos desde el disco de la unidad principal en un servidor externo y, posteriormente, copiarlos en el disco de la secundaria, donde estarán disponibles cuando se recargue la unidad.

Réplica de comandos

Una vez que ambas unidades se están ejecutando, los comandos se replican de una a otra tal y como se muestra a continuación:

  • Los comandos ejecutados en un contexto de seguridad se replican desde una unidad en la que el contexto de seguridad aparece en estado activo a la unidad par.

    Nota: el contexto se considera activo en una unidad si el grupo de conmutación por error al que pertenece está activo en ella.

  • Los comandos ejecutados en el espacio de ejecución del sistema se replican desde la unidad en la que el grupo de conmutación por error 1 está en estado activo a la unidad en la que el grupo 1 se encuentra en espera.

  • Los comandos ejecutados en el contexto de administración se replican desde la unidad en la que el grupo de conmutación por error 1 está en estado activo a la unidad en la que el grupo 1 se encuentra en espera.

Todos los comandos de archivo y configuración, por ejemplo, copy, rename, delete, mkdi, rmdir se replican, excepto: show, debug, mode, firewall, failover lan unit.

Si se produce un error en la ejecución de comandos en la unidad adecuada para llevar a cabo la réplica, las configuraciones no se sincronizarán. Estos cambios se pueden perder la próxima vez que se realice la sincronización de la configuración inicial.

Se puede utilizar el comando write standby para volver a sincronizar las configuraciones que no estén sincronizadas. Para la conmutación por error activa/activa, el comando write standby se comporta de la siguiente manera:

  • Si se ejecuta el comando write standby en el espacio de ejecución del sistema, la configuración del sistema y las configuraciones de todos los contextos de seguridad del dispositivo de seguridad se escriben en la unidad par. Esto incluye la información de configuración para los contextos de seguridad que están en espera. Debe ejecutar el comando en el espacio de ejecución del sistema de la unidad que tenga activo el grupo de conmutación por error 1.

    Nota: si existen contextos de seguridad activos en la unidad par, el comando write standby hace que se terminen las conexiones activas de estos contextos. Utilice el comando failover active en la unidad que proporciona la configuración para garantizar que todos los contextos estén activos en dicha unidad antes de ejecutar el comando write standby.

  • Si ejecuta write standby en un contexto de seguridad, únicamente la configuración del contexto se escribirá en la unidad par. Debe ejecutar el comando en el contexto de seguridad de la unidad donde el contexto aparezca en estado activo.

Los comandos replicados no se guardan en la memoria flash cuando se replican en la unidad par. Se agregan a la configuración en ejecución. Para guardar los comandos replicados en la memoria flash de ambas unidades, use el comando write memory o copy running-config startup-config en la unidad donde haya realizado los cambios. El comando se replica en la unidad par y hace que la configuración se guarde en su memoria flash.

Activadores de conmutación por error

La conmutación por error activa/activa se puede activar en el nivel de unidad si se produce uno de los siguientes eventos:

  • Error de hardware en la unidad.

  • Corte del suministro eléctrico en la unidad.

  • Error de software en la unidad.

  • El comando no failover active o failover active se ejecuta en el espacio de ejecución del sistema.

La conmutación por error se activa en el nivel de grupo de conmutación por error si se produce uno de los siguientes eventos:

  • Fallo de demasiadas interfaces supervisadas en el grupo.

  • Se ejecuta el comando no failover active group group_id o failover active group group_id.

Acciones de conmutación por error

En una configuración de conmutación por error activa/activa, la conmutación se produce en el contexto de un grupo y no de un sistema. Por ejemplo, si se designan como activos ambos grupos de conmutación por error en la unidad principal y falla el grupo 1, el grupo 2 permanece activo en la principal mientras que el grupo 1 se activa en la secundaria.

Nota: cuando configure la conmutación por error activa/activa, asegúrese de que el tráfico combinado para ambas unidades esté dentro de la capacidad de cada unidad.

Esta tabla muestra la acción de conmutación por error para cada evento de fallo. En cada evento se indica la política (si se produce o no la conmutación), las acciones para el grupo activo y las acciones para el grupo en espera.

Evento de fallo

Política

Acción del grupo activo

Acción del grupo en espera

Notas

Error de software o corte del suministro eléctrico en una unidad

Conmutación por error

Pasar a estado en espera. Marcar como fallido

Pasar a estado en espera. Marcar activo como fallido

Cuando falla una unidad de un par de conmutación por error, todos sus grupos activos se marcan como fallidos y se activan en la unidad par.

Error de interfaz en el grupo de conmutación por error activo por encima del umbral

Conmutación por error

Marcar grupo activo como fallido

Pasar a estado activo

Ninguna

Error de interfaz en el grupo de conmutación por error en espera por encima del umbral

Sin conmutación por error

Ninguna acción

Marcar grupo en espera como fallido

Cuando el grupo en espera se marca como fallido, el activo no intenta llevar a cabo la conmutación por error, aunque se sobrepase el umbral de error de la interfaz.

Recuperación del grupo anteriormente activo

Sin conmutación por error

Ninguna acción

Ninguna acción

A no ser que se configure con el comando preempt, los grupos permanecen activos en su unidad actual.

Fallo del enlace de conmutación por error al inicio

Sin conmutación por error

Pasar a estado activo

Pasar a estado activo

Si el enlace deja de funcionar en el inicio, los grupos de conmutación por error de ambas unidades se activan.

Fallo del enlace de conmutación por error con estado

Sin conmutación por error

Ninguna acción

Ninguna acción

La información de estado queda desactualizada y las sesiones terminan si se produce una conmutación por error.

Fallo del enlace de conmutación por error durante el funcionamiento

Sin conmutación por error

n/d

n/d

Todas las unidades marcan la interfaz de conmutación por error como fallida. El enlace se debe restaurar lo antes posible, ya que la unidad no puede realizar la conmutación por error en la unidad en espera mientras el enlace esté inactivo.

Conmutación por error con estado y normal

El dispositivo de seguridad admite dos tipos de conmutación por error, normal y con estado. En esta sección se incluyen los siguientes temas:

Conmutación por error normal

Cuando se produce una conmutación por error, se descartan todas las conexiones activas. Los clientes deben volver a establecer las conexiones cuando se aplique la nueva unidad activa.

Conmutación por error con estado

Cuando se habilita la conmutación por error con estado, la unidad activa transmite continuamente la información de estado por conexión a la unidad en espera. Tras una conmutación por error, la misma información de conexión está disponible en la nueva unidad activa. No es necesario que las aplicaciones de usuario final admitidas vuelvan a realizar la conexión para mantener la misma sesión de comunicación.

La información de estado transmitida a la unidad en espera incluye lo siguiente:

  • La tabla de traducción NAT

  • Los estados de conexión TCP

  • Los estados de conexión UDP

  • La tabla de ARP

  • La tabla de puente de capa 2 (cuando se ejecuta en modo de firewall transparente)

  • Los estados de conexión HTTP (si se habilita la réplica HTTP)

  • La tabla de ISAKMP y SA IPSec

  • La base de datos de conexión GTP PDP

Entre la información que no se transmite a la unidad en espera cuando se habilita la conmutación por error con estado se incluye lo siguiente:

  • La tabla de conexión HTTP (a no ser que se habilite la réplica HTTP)

  • La tabla de autenticación de usuario (uauth)

  • Las tablas de enrutamiento

  • La información de estado para los módulos de servicio de seguridad

Nota: si la conmutación por error se produce en una sesión activa de Cisco IP SoftPhone, la llamada permanece activa, ya que la información de estado de la sesión de llamada se replica en la unidad en espera. Cuando se termina la llamada, el cliente de IP SoftPhone pierde la conexión con CallManager. Esto sucede porque no existe información de sesión para el mensaje de terminación CTIQBE en la unidad en espera. Si el cliente de IP SoftPhone no recibe ninguna respuesta de CallManager en un determinado período de tiempo, considera que CallManager no está disponible y realiza su propia cancelación de registro.

Limitaciones de la configuración de conmutación por error

La conmutación por error no se puede configurar con los siguientes tipos de direcciones IP:

  • Direcciones IP obtenidas a través de DHCP

  • Direcciones IP obtenidas mediante PPPoE

  • Direcciones IPv6

Asimismo, se aplican estas restricciones:

  • La conmutación por error con estado no se admite en el dispositivo de seguridad adaptable ASA serie 5505.

  • La conmutación por error activa/activa no se admite en el dispositivo de seguridad adaptable ASA serie 5505.

  • La conmutación por error no se puede configurar si Easy VPN remoto está habilitado en el dispositivo de seguridad adaptable ASA serie 5505.

  • La conmutación por error VPN no se admite en modo de contexto múltiple.

Funciones no admitidas

El modo de contexto múltiple no admite las siguientes funciones:

  • Protocolos de enrutamiento dinámico

    Los contextos de seguridad sólo admiten rutas estáticas. No se puede habilitar OSPF ni RIP en modo de contexto múltiple.

  • VPN

  • Multidifusión

Configuración de conmutación por error activa/activa basada en cable

Requisitos previos

Antes de comenzar, compruebe que:

  • Ambas unidades tienen la misma configuración de software y hardware, y la licencia adecuada.

  • Ambas unidades se encuentran en el mismo modo (único o múltiple, transparente o enrutado).

Diagrama de la red

Este documento utiliza esta configuración de red:

pix-activeactive-config1.gif

Realice los pasos siguientes para configurar la conmutación por error activa/activa utilizando un cable serie como enlace de conmutación. Los comandos de esta tarea se ejecutan en la unidad principal del par de conmutación por error. La unidad principal es la que tiene conectado el extremo del cable etiquetado como Primary. Para los dispositivos en modo de contexto múltiple, los comandos se ejecutan en el espacio de ejecución del sistema a no ser que se indique lo contrario.

Cuando se utiliza la conmutación por error basada en cable, no es necesario arrancar la unidad secundaria del par. Deje la unidad secundaria desconectada hasta que se le indique que la conecte.

Nota: la conmutación por error basada en cable sólo está disponible en el dispositivo de seguridad PIX serie 500.

  1. Conecte el cable a los dispositivos de seguridad PIX serie 500. Asegúrese de conectar el extremo del cable marcado como Primary a la unidad que se use como principal y el extremo del cable marcado como Secondary a la unidad que se utilice como secundaria.

  2. Encienda la unidad principal.

  3. Si aún no lo ha hecho, configure las direcciones IP en espera y activas para cada interfaz de datos (modo enrutado), para la dirección IP de administración (modo transparente) o para la interfaz de sólo administración.

    La dirección IP en espera se usa en el dispositivo de seguridad que se encuentra actualmente en la unidad en espera. Debe estar en la misma subred que la dirección IP activa. Las direcciones de interfaz se deben configurar desde cada contexto. Utilice el comando change to context para cambiar entre los contextos. El mensaje del comando cambia a hostname/context(config-if)#, donde context es el nombre del contexto actual. Debe indicar una dirección IP de administración para cada contexto en modo de contexto múltiple de firewall transparente.

    Nota: no configure ninguna dirección IP para el enlace de conmutación por error con estado si va a usar una interfaz de conmutación por error con estado dedicada. Emplee el comando failover interface ip para configurar dicha interfaz en un paso posterior.

    hostname/context(config-if)#ip address active_addr netmask standby standby_addr
                      
                   

    En este ejemplo, la interfaz externa para context1 del PIX principal se configura de la siguiente manera:

    PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
                   

    Para context2:

    PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
                   

    En modo de firewall enrutado y para la interfaz de sólo administración, este comando se ejecuta en modo de configuración de interfaz para todas las interfaces. En modo de firewall transparente, el comando se ejecuta en modo de configuración global.

  4. Para poder habilitar la conmutación por error con estado, configure su enlace.

    1. Especifique la interfaz que se utilizará como enlace de conmutación por error con estado:

      hostname(config)#failover link if_name phy_if
                              
                           

      En este ejemplo, la interfaz Ethernet2 se utiliza para intercambiar información del estado del enlace de la conmutación por error con estado.

      failover link stateful Ethernet2

      El argumento if_name asigna un nombre lógico a la interfaz especificada por el argumento phy_if. phy_if puede ser el nombre del puerto físico, por ejemplo, Ethernet1, o bien una subinterfaz creada previamente, como Ethernet0/2.3. La interfaz no se debe usar para ningún otro propósito (excepto, opcionalmente, el vínculo de conmutación por error).

    2. Asigne una dirección IP activa y en espera al enlace de conmutación por error con estado:

      hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
                              
                           

      En este ejemplo, 10.0.0.1 se usa como dirección IP activa y 10.0.0.2 como dirección IP en espera para el enlace de conmutación por error con estado.

      PIX1(config)#failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2
                           

      La dirección IP en espera debe estar en la misma subred que la dirección IP activa. No es necesario identificar la máscara de subred de la dirección IP en espera.

      La dirección IP del enlace de conmutación por error con estado y la dirección MAC no cambian con la conmutación, excepto si la conmutación por error con estado emplea una interfaz de datos normal. La dirección IP activa siempre permanece en la unidad principal, mientras que la dirección en espera se encuentra en la unidad secundaria.

    3. Habilite la interfaz:

      hostname(config)#interface phy_if
                              
      hostname(config-if)#no shutdown
                           
  5. Configure los grupos de conmutación por error.

    Puede haber dos grupos como máximo. El comando failover group crea el grupo especificado si no existe y entra en el modo de configuración de grupo de conmutación por error.

    Para cada grupo, es necesario especificar si tiene preferencia principal o secundaria utilizando los comandos correspondientes primary o secondary, respectivamente. Puede asignar la misma preferencia a ambos grupos. Para las configuraciones de balance de carga, debe asignar a cada grupo una preferencia de unidad distinta.

    En este ejemplo se asigna al grupo 1 una preferencia principal y al grupo 2 una secundaria:

    hostname(config)#failover group 1
    hostname(config-fover-group)#primary
    hostname(config-fover-group)#exit
    hostname(config)#failover group 2
    hostname(config-fover-group)#secondary
    hostname(config-fover-group)#exit
                   
  6. Asigne a cada grupo de conmutación por error un contexto de usuario con el comando join-failover-group en modo de configuración de contexto.

    Todos los contextos sin asignar se asignan de forma automática al grupo 1. El contexto de administración siempre es miembro del grupo 1.

  7. Ejecute estos comandos para asignar cada contexto a un grupo:

    hostname(config)#context context_name
                      
    hostname(config-context)#join-failover-group {1 | 2}
                      
    hostname(config-context)#exit
                   
  8. Habilite la conmutación por error:

    hostname(config)#failover
                   
  9. Encienda la unidad secundaria y habilite la conmutación por error en ella si aún no lo está:

    hostname(config)#failover
                   

    La unidad activa envía la configuración de la memoria en ejecución a la unidad en espera. Cuando la configuración se sincroniza, aparecen los mensajes Beginning configuration replication: Sending to mate y End Configuration Replication to mate en la consola principal.

  10. Guarde la configuración en la memoria flash de la unidad principal. Debido a que los comandos ejecutados en la unidad principal se replican en la secundaria, esta unidad también guarda su configuración en la memoria flash.

    hostname(config)#copy running-config startup-config
                   
  11. Si es necesario, active en la unidad secundaria todos los grupos activos de la unidad principal. Para ello, ejecute este comando en el espacio de ejecución del sistema de la unidad principal.

    hostname#no failover active group group_id
                      
                   

    El argumento group_id especifica el grupo que desea activar en la unidad secundaria.

Configuraciones

Este documento usa estas configuraciones:

PIX1 - Configuración del sistema

PIX1#show running-config
: Saved
PIX Version 7.2(2) <system>
!
hostname PIX1
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto


                     !--- Habilite las interfaces lógica y física en el espacio de ejecución del sistema
!--- con el comando "no shutdown" antes de configurar lo mismo en los contextos
                  
!
interface Ethernet0
!
interface Ethernet0.1
 vlan 2
!
interface Ethernet0.2
 vlan 4
!
interface Ethernet1
!
interface Ethernet1.1
 vlan 3
!
interface Ethernet1.2
 vlan 5
!

                     !--- Configure "no shutdown" en la interfaz de conmutación por error con estado
!--- de los PIX principal y secundario.
                  

                  interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 shutdown
!
interface Ethernet4
 shutdown
!
interface Ethernet5
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24

                     !--- Comando para habilitar la función de conmutación por error
                  

                  failover

                  
                     !--- Comando para asignar la interfaz para la conmutación por error con estado
                  

                  failover link stateful Ethernet2

                  
                     !--- Comando para configurar las IP activa y en espera para
!--- la conmutación por error con estado
                  

                  failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2

                  
                     !--- Configure el grupo 1 como principal
                  

                  failover group 1

                  
                     !--- Configure el grupo 2 como secundario
                  

                  failover group 2
  secondary
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  config-url flash:/admin.cfg
!

                     !--- Comando para crear un contexto denominado "context1"
                  

                  context context1

                  
                     !--- Comando para asignar las interfaces lógicas a los contextos
                  

                  allocate-interface Ethernet0.1 inside_context1

                  allocate-interface Ethernet1.1 outside_context1

                  config-url flash:/context1.cfg

                  
                     !--- Asigne este contexto al grupo 1 de conmutación por error
                  

                  join-failover-group 1
!

context context2
  allocate-interface Ethernet0.2 inside_context2

                  allocate-interface Ethernet1.2 outside_context2

                  config-url flash:/context2.cfg

                  join-failover-group 2
!

prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

PIX1 - Configuración de context1

PIX1/context1(config)#show running-config
: Saved
:
PIX Version 7.2(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside_context1
 nameif inside
 security-level 100

                     !--- Configure las IP activa y en espera para la interfaz lógica interna
!--- de context1.
                  

                  ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!
interface outside_context1
 nameif outside
 security-level 0

                     !--- Configure las IP activa y en espera para la interfaz lógica externa
!--- de context1.
                  

                  ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list 100 extended permit tcp any host 172.16.1.1 eq www
pager lines 24
mtu inside 1500
mtu outside 1500
monitor-interface inside
monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (inside,outside) 172.16.1.1 192.168.1.5 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

PIX1 - Configuración de context2

PIX1/context2(config)#show running-config
: Saved
:
PIX Version 7.2(2) <context>
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside_context2
 nameif inside
 security-level 100

                     !--- Configure las IP activa y en espera para la interfaz lógica interna
!--- de context2.
                  

                  ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
!
interface outside_context2
 nameif outside
 security-level 0

                     !--- Configure las IP activa y en espera para la interfaz lógica externa
!--- de context2.
                  

                  ip address 172.16.2.1 255.255.255.0 standby 172.16.2.2
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list 100 extended permit tcp any host 172.16.2.1 eq www
pager lines 24
mtu inside 1500
mtu outside 1500
monitor-interface inside
monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (inside,outside) 172.16.2.1 192.168.2.5 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.2.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Configuración de conmutación por error activa/activa basada en LAN

Diagrama de la red

Este documento utiliza esta configuración de red:

pix-activeactive-config2.gif

En esta sección se describe cómo configurar la conmutación por error activa/activa utilizando un enlace de conmutación por error Ethernet. Cuando se configura la conmutación por error basada en LAN, se debe arrancar el dispositivo secundario para que reconozca el enlace de conmutación antes de que pueda obtener la configuración en ejecución del dispositivo principal.

En esta sección se incluyen las siguientes configuraciones:

Configuración de la unidad principal

Siga estos pasos para establecer la unidad principal en una configuración de conmutación por error activa/activa:

  1. Si aún no lo ha hecho, configure las direcciones IP en espera y activas para cada interfaz de datos (modo enrutado), para la dirección IP de administración (modo transparente) o para la interfaz de sólo administración.

    La dirección IP en espera se usa en el dispositivo de seguridad que se encuentra actualmente en la unidad en espera. Debe estar en la misma subred que la dirección IP activa.

    Las direcciones de interfaz se deben configurar desde cada contexto. Utilice el comando change to context para cambiar entre los contextos. El mensaje del comando cambia a hostname/context(config-if)#, siendo context el nombre del contexto actual. En modo de firewall transparente, debe indicar una dirección IP de administración para cada contexto.

    Nota: no configure ninguna dirección IP para el enlace de conmutación por error con estado si va a usar una interfaz de conmutación por error con estado dedicada. Emplee el comando failover interface ip para configurar dicha interfaz en un paso posterior.

    hostname/context(config-if)#ip address active_addr netmask standby standby_addr
                      
                   

    En este ejemplo, la interfaz externa para context1 del PIX principal se configura de la siguiente manera:

    PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
                   

    Para context2:

    PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
                   

    En modo de firewall enrutado y para la interfaz de sólo administración, este comando se ejecuta en modo de configuración de interfaz para todas las interfaces. En modo de firewall transparente, el comando se ejecuta en modo de configuración global.

  2. Configure los parámetros básicos de conmutación por error en el espacio de ejecución del sistema:

    1. (Sólo dispositivo de seguridad PIX) Habilite la conmutación por error basada en LAN:

      hostname(config)# hostname(config)#failover lan enable
                           
    2. Designe la unidad como la principal:

      hostname(config)#failover lan unit primary
                           
    3. Especifique el enlace de conmutación por error:

      hostname(config)#failover lan interface if_name phy_if
                              
                           

      En este ejemplo, se usa la interfaz Ethernet3 como interfaz de conmutación por error basada en LAN.

      PIX1(config)#failover lan interface LANFailover ethernet3
                           

      El argumento if_name asigna un nombre lógico a la interfaz especificada por el argumento phy_if. phy_if puede ser el nombre del puerto físico, por ejemplo, Ethernet1, o bien una subinterfaz creada previamente, como Ethernet0/2.3. En el dispositivo de seguridad adaptable ASA serie 5505, phy_if especifica una VLAN. La interfaz no se debe usar para ningún otro propósito (excepto, opcionalmente, el vínculo de conmutación por error con estado).

    4. Especifique las direcciones IP activa y en espera del enlace de conmutación por error:

      hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
                              
                           

      En este ejemplo, 10.1.0.1 se usa como dirección IP activa y 10.1.0.2 como dirección IP en espera para la interfaz de conmutación por error.

      PIX1(config)#failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2
                           

      La dirección IP en espera debe estar en la misma subred que la dirección IP activa. No es necesario identificar la máscara de subred de la dirección IP en espera. Las direcciones MAC e IP del enlace de conmutación por error no cambian con la conmutación. La dirección IP activa siempre permanece en la unidad principal, mientras que la dirección en espera se encuentra en la unidad secundaria.

  3. Para poder habilitar la conmutación por error con estado, configure su enlace:

    1. Especifique la interfaz que se utilizará como enlace de conmutación por error con estado:

      hostname(config)#failover link if_name phy_if
                              
      PIX1(config)#failover link stateful ethernet2
                           

      El argumento if_name asigna un nombre lógico a la interfaz especificada por el argumento phy_if. phy_if puede ser el nombre del puerto físico, por ejemplo, Ethernet1, o bien una subinterfaz creada previamente, como Ethernet0/2.3. La interfaz no se debe usar para ningún otro propósito (excepto, opcionalmente, el vínculo de conmutación por error).

      Nota: si el enlace de conmutación por error con estado utiliza el enlace de conmutación o una interfaz de datos normal, sólo será necesario proporcionar el argumento if_name.

    2. Asigne una dirección IP activa y en espera al enlace de conmutación por error con estado.

      Nota: si el enlace de conmutación por error con estado utiliza el enlace de conmutación o una interfaz de datos normal, omita este paso. Ya ha definido las direcciones IP activa y en espera para la interfaz.

      hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
                              
      PIX1(config)#failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2
                           

      La dirección IP en espera debe estar en la misma subred que la dirección IP activa. No es necesario identificar la máscara de subred de la dirección en espera. Las direcciones MAC e IP del enlace de estado no cambian con la conmutación. La dirección IP activa siempre permanece en la unidad principal, mientras que la dirección en espera se encuentra en la unidad secundaria.

    3. Habilite la interfaz.

      Nota: si el enlace de conmutación por error con estado utiliza el enlace de conmutación o una interfaz de datos normal, omita este paso. Ya ha habilitado la interfaz.

      hostname(config)#interface phy_if
                              
      hostname(config-if)#no shutdown
                           
  4. Configure los grupos de conmutación por error. Puede haber dos grupos como máximo. El comando failover group crea el grupo especificado si no existe y entra en el modo de configuración de grupo de conmutación por error.

    Para cada grupo, especifique si tiene preferencia principal o secundaria utilizando los comandos correspondientes primary o secondary, respectivamente. Puede asignar la misma preferencia a ambos grupos. Para las configuraciones de balance de carga, debe asignar a cada grupo una preferencia de unidad distinta.

    En este ejemplo se asigna al grupo 1 una preferencia principal y al grupo 2 una secundaria:

    hostname(config)#failover group 1
    hostname(config-fover-group)#primary
    hostname(config-fover-group)#exit
    hostname(config)#failover group 2
    hostname(config-fover-group)#secondary
    hostname(config-fover-group)#exit
                   
  5. Asigne a cada grupo de conmutación por error un contexto de usuario con el comando join-failover-group en modo de configuración de contexto.

    Todos los contextos sin asignar se asignan de forma automática al grupo 1. El contexto de administración siempre es miembro del grupo 1.

  6. Ejecute estos comandos para asignar cada contexto a un grupo:

    hostname(config)#context context_name
                      
    hostname(config-context)#join-failover-group {1 | 2}
                      
    hostname(config-context)#exit
                   
  7. Habilite la conmutación por error:

    hostname(config)#failover
                   

Configuración de la unidad secundaria

Al configurar la conmutación por error activa/activa basada en LAN, es necesario arrancar la unidad secundaria para reconocer el enlace de conmutación. Esto permite que la unidad secundaria se comunique y obtenga la configuración en ejecución de la principal.

Siga estos pasos para arrancar la unidad secundaria en una configuración de conmutación por error activa/activa:

  1. (Sólo dispositivo de seguridad PIX) Habilite la conmutación por error basada en LAN:

    hostname(config)#failover lan enable
                   
  2. Defina la interfaz de conmutación por error. Use la misma configuración empleada en la unidad principal:

    1. Especifique la interfaz que se utilizará como interfaz de conmutación por error.

      hostname(config)#failover lan interface if_name phy_if
                              
      PIX1(config)#failover lan interface LANFailover ethernet3
                           

      El argumento if_name asigna un nombre lógico a la interfaz especificada por el argumento phy_if. phy_if puede ser el nombre del puerto físico, por ejemplo, Ethernet1, o bien una subinterfaz creada previamente, como Ethernet0/2.3. En el dispositivo de seguridad adaptable ASA serie 5505, phy_if especifica una VLAN.

    2. Asigne la dirección IP activa y en espera al enlace de conmutación por error:

      hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
                              
      PIX1(config)#failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2
                           

      Nota: ejecute este comando exactamente como lo hizo en la unidad principal cuando configuró la interfaz de conmutación por error.

      La dirección IP en espera debe estar en la misma subred que la dirección IP activa. No es necesario identificar la máscara de subred de la dirección en espera.

    3. Habilite la interfaz:

      hostname(config)#interface phy_if
                              
      hostname(config-if)#no shutdown
                           
  3. Designe esta unidad como secundaria:

    hostname(config)#failover lan unit secondary
                   

    Nota: este paso es opcional, ya que las unidades predeterminadas se designan como secundarias a no ser que se haya configurado de otro modo con anterioridad.

  4. Habilite la conmutación por error:

    hostname(config)#failover
                   

    Una vez habilitada la conmutación por error, la unidad activa envía la configuración de la memoria en ejecución a la unidad en espera. Cuando la configuración se sincroniza, aparecen los mensajes Beginning configuration replication: Sending to mate y End Configuration Replication to mate en la consola de la unidad activa.

  5. Una vez que la configuración en ejecución haya completado la réplica, ejecute este comando para guardar la configuración en la memoria flash:

    hostname(config)#copy running-config startup-config
                   
  6. Si es necesario, active en la unidad secundaria todos los grupos activos de la principal. Para ello, ejecute este comando en el espacio de ejecución del sistema de la unidad principal.

    hostname#no failover active group group_id
                      
                   

    El argumento group_id especifica el grupo que desea activar en la unidad secundaria.

Configuraciones

Este documento usa estas configuraciones:

PIX principal

PIX1(config)#show running-config
: Saved
:
PIX Version 7.2(2) <system>
!
hostname PIX1
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0
!
interface Ethernet0.1
 vlan 2
!
interface Ethernet0.2
 vlan 4
!
interface Ethernet1
!
interface Ethernet1.1
 vlan 3
!
interface Ethernet1.2
 vlan 5
!

                     !--- Configure "no shutdown" en la interfaz de conmutación por error con estado, así como
!--- la interfaz de conmutación por error LAN en PIX/ASA principal y secundario.
                  
interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 description LAN Failover Interface
!
interface Ethernet4
 shutdown
!
interface Ethernet5
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
failover

                  failover lan unit primary

                  
                     !--- Comando para asignar la interfaz para la conmutación por error basada en LAN
                  

                  failover lan interface LANFailover Ethernet3

                  
                     !--- Comando para habilitar la conmutación por error basada en LAN
                  

                  failover lan enable

                  
                     !--- Configure la clave de cifrado/autenticación
                  

                  failover key *****

                  failover link stateful Ethernet2

                  
                     !--- Configure las IP activa y en espera para la conmutación por error basada en LAN
                  

                  failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2

                  failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2
failover group 1
failover group 2
  secondary
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  config-url flash:/admin.cfg
!

context context1
  allocate-interface Ethernet0.1 inside_context1
  allocate-interface Ethernet1.1 outside_context1
  config-url flash:/context1.cfg
  join-failover-group 1
!

context context2
  allocate-interface Ethernet0.2 inside_context2
  allocate-interface Ethernet1.2 outside_context2
  config-url flash:/context2.cfg
  join-failover-group 2
!

prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Nota: consulte las secciones sobre la configuración de la conmutación por error basada en cable, PIX1 - Configuración de context1 y PIX1 - Configuración de context2, para obtener información sobre la configuración de contexto en un escenario de conmutación por error basado en LAN.

PIX secundario

PIX2#show running-config

failover
failover lan unit secondary
failover lan interface LANFailover Ethernet3
failover lan enable
failover key *****
failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2

Verificación

Utilice esta sección para confirmar que la configuración funciona de manera adecuada.

La herramienta intérprete de resultados ( sólo para clientes registrados) (OIT) admite algunos comandos show. Utilice OIT para ver un análisis de los resultados del comando show.

Uso del comando show failover

En esta sección se describen los resultados del comando show failover. En cada unidad, puede comprobar el estado de conmutación por error con el comando show failover.

PIX principal

PIX1(config-subif)#show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: LANFailover Ethernet3 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 7.2(2), Mate 7.2(2)
Group 1 last failover at: 06:12:45 UTC Apr 16 2007
Group 2 last failover at: 06:12:43 UTC Apr 16 2007

  This host:    Primary
  Group 1       State:          Active
                Active time:    359610 (sec)
  Group 2       State:          Standby Ready
                Active time:    3165 (sec)

                  context1 Interface inside (192.168.1.1): Normal
                  context1 Interface outside (172.16.1.1): Normal
                  context2 Interface inside (192.168.2.2): Normal
                  context2 Interface outside (172.16.2.2): Normal

  Other host:   Secondary
  Group 1       State:          Standby Ready
                Active time:    0 (sec)
  Group 2       State:          Active
                Active time:    3900 (sec)

                  context1 Interface inside (192.168.1.2): Normal
                  context1 Interface outside (172.16.1.2): Normal
                  context2 Interface inside (192.168.2.1): Normal
                  context2 Interface outside (172.16.2.1): Normal

Stateful Failover Logical Update Statistics
        Link : stateful Ethernet2 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         48044      0          48040      1
        sys cmd         48042      0          48040      1
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         2          0          0          0
        Xlate_Timeout   0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       72081
        Xmit Q:         0       1       48044

PIX secundario

PIX1(config)#show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Secondary
Failover LAN Interface: LANFailover Ethernet3 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 7.2(2), Mate 7.2(2)
Group 1 last failover at: 06:12:46 UTC Apr 16 2007
Group 2 last failover at: 06:12:41 UTC Apr 16 2007

  This host:    Secondary
  Group 1       State:          Standby Ready
                Active time:    0 (sec)
  Group 2       State:          Active
                Active time:    3975 (sec)

                  context1 Interface inside (192.168.1.2): Normal
                  context1 Interface outside (172.16.1.2): Normal
                  context2 Interface inside (192.168.2.1): Normal
                  context2 Interface outside (172.16.2.1): Normal

  Other host:   Primary
  Group 1       State:          Active
                Active time:    359685 (sec)
  Group 2       State:          Standby Ready
                Active time:    3165 (sec)

                  context1 Interface inside (192.168.1.1): Normal
                  context1 Interface outside (172.16.1.1): Normal
                  context2 Interface inside (192.168.2.2): Normal
                  context2 Interface outside (172.16.2.2): Normal

Stateful Failover Logical Update Statistics
        Link : stateful Ethernet2 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         940        0          942        2
        sys cmd         940        0          940        2
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          2          0
        Xlate_Timeout   0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       1419
        Xmit Q:         0       1       940

Ejecute el comando show failover state para verificar el estado.

PIX principal

PIX1(config)#show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
    Group 1    Active         None
    Group 2    Standby Ready  None
Other host -   Secondary
    Group 1    Standby Ready  None
    Group 2    Active         None

====Configuration State===
        Sync Done
====Communication State===
        Mac set

Unidad secundaria

PIX1(config)#show failover state

               State          Last Failure Reason      Date/Time
This host  -   Secondary
    Group 1    Standby Ready  None
    Group 2    Active         None
Other host -   Primary
    Group 1    Active         None
    Group 2    Standby Ready  None

====Configuration State===
        Sync Done - STANDBY
====Communication State===
        Mac set

Para comprobar las direcciones IP de la unidad de conmutación por error, ejecute el comando show failover interface.

Unidad principal

PIX1(config)#show failover interface
        interface stateful Ethernet2
                System IP Address: 10.0.0.1 255.255.255.0
                My IP Address    : 10.0.0.1
                Other IP Address : 10.0.0.2
        interface LANFailover Ethernet3
                System IP Address: 10.1.0.1 255.255.255.0
                My IP Address    : 10.1.0.1
                Other IP Address : 10.1.0.2

Unidad secundaria

PIX1(config)#show failover interface
        interface LANFailover Ethernet3
                System IP Address: 10.1.0.1 255.255.255.0
                My IP Address    : 10.1.0.2
                Other IP Address : 10.1.0.1
        interface stateful Ethernet2
                System IP Address: 10.0.0.1 255.255.255.0
                My IP Address    : 10.0.0.2
                Other IP Address : 10.0.0.1

Visualización de interfaces supervisadas

Para ver el estado de las interfaces supervisadas: en modo de contexto único, ejecute el comando show monitor-interface para entrar en el modo de configuración global. En modo de contexto múltiple, ejecute show monitor-interface dentro de un contexto.

PIX principal

PIX1/context1(config)#show monitor-interface
        This host: Secondary - Active
                Interface inside (192.168.1.1): Normal
                Interface outside (172.16.1.1): Normal
        Other host: Secondary - Standby Ready
                Interface inside (192.168.1.2): Normal
                Interface outside (172.16.1.2): Normal

PIX secundario

PIX1/context1(config)#show monitor-interface
        This host: Secondary - Standby Ready
                Interface inside (192.168.1.2): Normal
                Interface outside (172.16.1.2): Normal
        Other host: Secondary - Active
                Interface inside (192.168.1.1): Normal
                Interface outside (172.16.1.1): Normal

Visualización de los comandos de conmutación por error en la configuración en ejecución

Para ver los comandos de conmutación por error en la configuración en ejecución, ejecute el siguiente comando:

hostname(config)#show running-config failover
         

Se mostrarán todos los comandos de conmutación por error. En las unidades que se ejecutan en modo de contexto múltiple, ejecute el comando show running-config failover en el espacio de ejecución del sistema. Ejecute el comando show running-config all failover para ver los comandos de conmutación por error de la configuración en ejecución e incluir aquellos para los que no haya cambiado el valor predeterminado.

Pruebas de funcionalidad de la conmutación por error

Para comprobar la funcionalidad de la conmutación por error, lleve a cabo los siguientes pasos:

  1. Compruebe que la unidad activa o el grupo de conmutación por error transmitan tráfico correctamente con FTP (por ejemplo) para enviar un archivo entre hosts en interfaces diferentes.

  2. Aplique una conmutación por error a la unidad en espera con este comando:

    • Para la conmutación por error activa/activa, ejecute este comando en la unidad donde el grupo que incluye la interfaz que conecta con los hosts esté activa:

      hostname(config)#no failover active group group_id
                              
                           
  3. Use FTP para enviar otro archivo entre los dos mismos hosts.

  4. Si la prueba no es correcta, ejecute el comando show failover command para comprobar el estado de la conmutación por error.

  5. Cuando haya finalizado, puede restaurar la unidad o el grupo de conmutación al estado activo con este comando:

    • Para la conmutación por error activa/activa, ejecute este comando en la unidad donde el grupo que incluye la interfaz que conecta con los hosts esté activa:

      hostname(config)#failover active group group_id
                              
                           

Conmutación por error aplicada

Para hacer que la unidad en espera se active, ejecute uno de estos comandos:

Ejecute este comando en el espacio de ejecución del sistema de la unidad donde el grupo de conmutación por error esté en espera:

hostname#failover active group group_id
            
         

O bien, ejecute este comando en el espacio de ejecución del sistema de la unidad donde el grupo de conmutación por error esté activo:

hostname#no failover active group group_id
            
         

Si este comando se ejecuta en el espacio de ejecución del sistema, se activarán todos los grupos de conmutación por error:

hostname#failover active
         

Conmutación por error deshabilitada

Para deshabilitar la conmutación por error, ejecute este comando:

hostname(config)# no failover
         

Si deshabilita la conmutación en un par de unidades activa/en espera, el estado activo y en espera de cada unidad se mantendrán hasta que se reinicie. Por ejemplo, la unidad en espera permanece en este modo de forma que ambas unidades no comienzan a transmitir tráfico. Para activar la unidad en espera (incluso con la conmutación por error deshabilitada), consulte la sección Conmutación por error aplicada.

Si deshabilita la conmutación por error en un par de unidades activa/activa, los grupos permanecerán activos en todas las unidades en las que se encuentren activos. No importa la preferencia de la unidad que se haya configurado. El comando no failover se puede ejecutar en el espacio de ejecución del sistema.

Restauración de una unidad fallida

Para restaurar un grupo de conmutación por error activa/activa a un estado sin fallos, ejecute este comando:

hostname(config)#failover reset group group_id
            
         

Si restaura una unidad fallida a un estado sin fallos, no se activará automáticamente. Los grupos o unidades restaurados permanecen en espera hasta que se activan mediante la conmutación por error (aplicada o natural). La excepción son los grupos configurados con el comando preempt. Si anteriormente está activo, el grupo se activa si se configura con el comando preempt y si la unidad en la que ha fallado es su preferida.

Resolución de problemas

Cuando se produce la conmutación por error, ambos dispositivos de seguridad envían mensajes del sistema. En esta sección se incluyen los siguientes temas:

Mensajes del sistema de conmutación por error

El dispositivo de seguridad emite una serie de mensajes del sistema relacionados con la conmutación por error en un nivel de prioridad 2, que indica una condición crítica. Para ver estos mensajes, consulte Cisco Security Appliance Logging Configuration and System Log Messages (Mensajes del registro del sistema y de configuración del registro de dispositivos de seguridad Cisco) para habilitar el registro y ver las descripciones de los mensajes del sistema.

Nota: en el intercambio, la conmutación por error se cierra lógicamente y después activa las interfaces, lo que genera los mensajes 411001 y 411002 del registro del sistema. Se trata de una actividad normal.

Mensajes de depuración

Para poder ver los mensajes de depuración, ejecute el comando debug fover. Para obtener más información, consulte Cisco Security Appliance Command Reference (Referencia de comandos de dispositivos de seguridad Cisco).

Nota: debido a que al resultado de la depuración se le asigna una prioridad alta en el proceso de la CPU, puede afectar en gran medida al rendimiento del sistema. Por este motivo, use únicamente el comando debug fover para resolver problemas específicos o durante sesiones de resolución de problemas con el equipo de Soporte técnico de Cisco.

Nota: consulte Important Information on Debug Commands (Información importante sobre los comandos de depuración) antes de utilizar los comandos debug.

SNMP

Parar recibir trampas syslog SNMP para la conmutación por error, configure el agente SNMP para que envíe trampas SNMP a las estaciones de administración SNMP, defina un host syslog y compile MIB syslog de Cisco en su estación de administración SNMP. Para obtener más información, consulte los comandos snmp-server y logging en Cisco Security Appliance Command Reference (Referencia de comandos de dispositivos de seguridad Cisco).


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 91336