Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

PIX/ASA 7.x: пример конфигурации аварийного переключения на активный резервный ресурс

24 мая 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (4 ноября 2009) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Сопутствующие продукты
     Условные обозначения
Конфигурация аварийного перехода на активный резервный ресурс
     Конфигурация аварийного перехода на активный резервный ресурс — обзор
     Состояние Primary/Secondary (Первичный/вторичный) и Active/Standby (Активный/ожидающий)
     Инициализация устройства и синхронизация настроек
     Репликация команд
     События, запускающие переход на другой ресурс
     Действия при переходе на другой ресурс
Переход на другой ресурс при сбое с отслеживанием состояния соединений и обычный переход
     Обычный переход на другой ресурс при сбое
     Переход на другой ресурс при сбое с отслеживанием состояния соединений
Ограничения при настройке перехода на другой ресурс при сбое
     Неподдерживаемые функции
Настройка конфигурации аварийного перехода на активный резервный ресурс с использованием кабельных соединений
     Предварительные условия
     Диаграмма сети
     Конфигурации
Настройка конфигурации аварийного перехода на активный резервный ресурс с использованием интерфейса ЛВС
     Диаграмма сети
     Настройка первичного узла
     Настройка вторичного узла
     Конфигурации
Проверка
     Использование команды show failover
     Вид просматриваемого интерфейса
      Отображение команд перехода на другой ресурс при сбое в текущей конфигурации
     Тестирование функциональных возможностей перехода на другой ресурс при сбое
     Принудительный переход на другой ресурс при сбое
     Отключение режима перехода на другой ресурс при сбое
     Восстановление сбойного узла
Поиск и устранение неполадок
     Сообщения системы перехода на другой ресурс при сбое
     Сообщения отладки
     SNMP
     Время учета команд перехода на другой ресурс при сбое
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

Для конфигурации аварийного переключения необходимы два одинаковых устройства безопасности, соединенные друг с другом с помощью выделенного соединения аварийного переключения, или соединения аварийного переключения с отслеживанием состояния. Состояние активных интерфейсов и узлов отслеживается до возникновения условий, отвечающих специфическим заданным параметрам аварийного переключения на другой ресурс. При возникновении условий, соответствующих заданным, происходит аварийное переключение на другой ресурс.

Устройство обеспечения безопасности поддерживает два типа конфигураций аварийного переключения: аварийное переключение на активный резервный ресурс и аварийное переключение на резервный ресурс в режиме ожидания. В каждой конфигурации аварийного переключения используется отдельный способ определения и выполнения аварийного переключения на другой ресурс. При конфигурации аварийного переключения на активный резервный ресурс оба модуля могут пропускать сетевой трафик. Это позволяет настроить балансировку нагрузки на сеть. Конфигурация аварийного переключения на активный резервный ресурс доступна только для модулей, работающих в многоконтекстном режиме. При конфигурации аварийного переключения на резервный ресурс в режиме ожидания сетевой трафик пропускается только одним узлом, в то время как другой находится в режиме ожидания. Конфигурация аварийного переключения на резервный ресурс в режиме ожидания доступна для узлов, работающих как в одноконтекстном, так и в многоконтекстном режиме. В обеих конфигурациях поддерживается переключение на другой ресурс при сбое как с отслеживанием состояния соединений, так и без него.

В этом документе описывается настройка конфигурации аварийного переключения на активный резервный ресурс для устройств защиты Cisco PIX/ASA Security Appliance.

Для получения дополнительной информации о конфигурации аварийного переключения на резервный ресурс в режиме ожидания см. документ PIX/ASA 7.x: пример конфигурации аварийного переключения на резервный ресурс в режиме ожидания.

Примечание: Функция аварийного переключения для VPN-соединений не поддерживается на модулях, работающих в многоконтекстном режиме. Функция аварийного переключения для VPN-соединений доступна только для конфигураций аварийного переключения на резервный ресурс в режиме ожидания.

В этом руководстве по настройке приведен пример конфигурации, который включает краткое описание технологии PIX/ASA 7.x Active/Active. Обратитесь к руководству PIX/ASA справочное руководство по командам, чтобы получить более подробные теоретические сведения об этой технологии.

Предварительные условия

Требования

Требования к оборудованию

Два узла в конфигурации аварийного переключения на другой ресурс при сбое должны обладать одинаковой аппаратной конфигурацией. Они должны быть одной и той же модели, обладать одинаковым числом и типами интерфейсов, а также иметь одинаковое количество оперативной памяти.

Примечание: Не обязательно, чтобы у двух узлов был одинаковый объем флэш-памяти. При использовании узлов с разными объемами флэш-памяти в конфигурации перехода на другой ресурс при сбое, убедитесь, что узел с меньшим объемом флэш-памяти обладает достаточным ее объемом для размещения файлов образов программ и файлов конфигурации. Если памяти все же недостаточно, синхронизацию с другим узлом большего объема флэш-памяти выполнить не удастся.

Требования к программному обеспечению

Два узла, входящие в конфигурацию с переключением на резервный ресурс должны находиться в рабочих режимах (маршрутизируемом или прозрачном, одноконтекстном или многоконтекстном режиме). У них должны быть одинаковые основной (первый) и дополнительный (второй) номера версии ПО, однако можно использовать различные версии ПО в процессе обновления; например, можно обновить один узел от версии 7.0(1) до версии 7.0(2) и при этом использовать активный режим перехода на резервный ресурс. Чтобы обеспечить долговременную совместимость узлов в связке, рекомендуется обновление до одной и той же версии ПО на обоих узлах.

Лицензионные требования

На платформе PIX/ASA Security Appliance по меньшей мере один из узлов должен иметь неограниченную лицензию (UR). На другом узле может быть установлена лицензия Failover Only Active-Active (FO_AA), либо другая лицензия типа UR. Узлы с ограниченной лицензией (Restricted) не могут использоваться для организации перехода на другой ресурс при сбое, так же нельзя использовать два узла с лицензией типа FO_AA.

Используемые компоненты

Сведения, которые представлены в этом документе, относятся к следующим версиям аппаратного и программного обеспечения.

  • Устройство защиты PIX Security Appliance с версией 7.x

Сведения, представленные в этом документе, были созданы на основе результатов, полученных в специфической лабораторной среде. Все устройства, используемые в этом документе, первоначально находились в конфигурации по умолчанию. Если работы ведутся в рабочей сети, убедитесь, что значение всех команд и последствия их применения вам известны.

Сопутствующие продукты

Эта конфигурация может также использоваться со следующими версиями программного/аппаратного обеспечения.

  • ASA с версией 7.x

Примечание: Конфигурация аварийного перехода на активный резервный ресурс недоступна для устройств адаптивной защиты серии ASA 5505.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в статье Cisco Technical Tips Conventions (Условные обозначения, используемые в технической документации Cisco).

Конфигурация аварийного перехода на активный резервный ресурс

Раздел посвящен описанию конфигурации аварийного перехода на резервный ресурс в режиме ожидания. В разделе рассматриваются следующие темы.

Конфигурация аварийного перехода на активный резервный ресурс — обзор

Конфигурация аварийного перехода на активный резервный ресурс доступна только для устройств защиты, работающих в многоконтекстном режиме. В конфигурации аварийного перехода на активный резервный ресурс оба устройства защиты могут пропускать сетевой трафик.

В конфигурации аварийного перехода на активный резервный ресурс на устройстве защиты выполняется разделение контекстов безопасности по группам перехода на резервный ресурс. Группа перехода на другой ресурс при сбое — это логическая группа, состоящая из одного или нескольких контекстов безопасности. На одном устройстве защиты можно создать максимум две группы перехода на другой ресурс при сбое. Контекст администрирования всегда является членом группы перехода 1. Любые неназначенные контексты защиты также являются по умолчанию членами группы перехода на другой ресурс 1.

В конфигурации аварийного перехода на активный резервный ресурс группа перехода на резервный ресурс является основным модулем. Мониторинг сбоя интерфейсов, переход на другой ресурс при сбое, и состояние активный/режим ожидания — все это атрибуты, скорее, группы перехода на другой ресурс при сбое, чем самого узла. При возникновении сбоя в активной группе перехода происходит смена режима на режим ожидания, в то время как группа, ранее находившаяся в режиме ожидания, переходит в активный режим. Интерфейсы в группе перехода на другой ресурс, которая становится активной, используют те же адреса MAC и IP, что и интерфейсы сбойной группы. Интерфейсы в группе перехода на другой ресурс при сбое, которая теперь находится в режиме ожидания, принимают на себя адреса MAC и IP, которые предназначены для использования в режиме ожидания.

Примечание: Если в группе перехода на другой ресурс происходит сбой, это не означает, что сбой происходит во всем узле. Узел может использовать другую группу перехода для трансляции трафика.

Состояние Primary/Secondary (Первичный/вторичный) и Active/Standby (Активный/ожидающий)

Как и для конфигурации аварийного перехода на резервный ресурс в режиме ожидания, в конфигурации аварийного перехода на активный резервный ресурс в паре перехода один модуль является главным, а другой - второстепенным. В отличие от конфигурации аварийного перехода на резервный ресурс в режиме ожидания, в конфигурации аварийного перехода на активный резервный ресурс не указывается, какой узел становится активным при одновременном запуске обоих узлов. Вместо этого разделение на главный и второстепенный узел необходимо для:

  • определения узла, который обеспечивает рабочую конфигурацию для пары при синхронной загрузке;

  • определения узла, на котором каждая группа перехода активизируется при одновременной загрузке узлов. Каждая группа перехода на другой ресурс при сбое в конфигурации настраивается в соответствии с параметрами главного или второстепенного узла. Можно установить параметры обеих групп перехода одного узла, работающих в паре, для установки в активном состоянии, в то время как на другом узле группы перехода будут находиться в режиме ожидания. Однако более типичной конфигурацией является установка различного состояния каждой группы перехода узла, чтобы на каждом узле одна из групп оставалась активной, при этом трафик распределяется между узлами.

    Примечание: Устройство защиты не предназначено для балансировки нагрузки. Балансировка нагрузки должна выполняться при помощи маршрутизатора, через который проходит трафик к устройству защиты.

Ниже показан способ определения группы перехода на другой ресурс, которая становится активной для данного узла

  • При загрузке одного узла, в то время как второй отсутствует, обе группы перехода на другой ресурс активируются на одном узле.

  • При загрузке узла при активном втором узле (с обеими группами перехода на другой ресурс при сбое в активном состоянии), обе группы остаются в активном состоянии на активном узле, вне зависимости от первичного или вторичного состояния группы, до тех пор, пока не произойдет одно из следующих событий.

    • Переключение на другой ресурс вследствие сбоя.

    • При переподключении вручную группы перехода к другому ресурсу с помощью команды no failover active

    • Группа перехода на другой ресурс настроена вручную при помощи команды preempt, которая программирует автоматический перенос активной группы перехода на предпочитаемый узел, когда последний становится доступным.

  • При загрузке обоих узлов одновременно, каждая группа перехода становится активной на предпочитаемом узле, к которому она приписана после синхронизации настроек.

Инициализация устройства и синхронизация настроек

Синхронизация настроек выполняется тогда, когда загружаются один или оба узла пары, обеспечивающей отказоустойчивость. Настройки синхронизируются следующим образом:

  • При загрузке одного в то время, когда второй остается активным (с обеими группами перехода на другой ресурс при сбое в активном состоянии), загружающийся узел связывается с активным узлом для получения рабочих настроек вне зависимости от состояния "первичный" или "вторичный", установленного для загружающегося узла.

  • При одновременной загрузке обоих узлов, вторичный узел получает рабочие настройки от главного узла.

При начале процесса репликации, консоль устройства защиты узла, который отправляет параметры настроек, выводит сообщение "Начало репликации настроек: оотправка другому члену пары". После завершения этого процесса, на устройстве защиты отобразится сообщение "Репликация настроек на другого члена пары завершена". Во время репликации команды, которые вводятся на узле, выполняющем отправку настроек, могут неверно отразиться на принимающем узле, а команды, которые вводятся на принимающем узле, могут быть переписаны настройками, полученными от отправляющего узла. Избегайте ввода команд на любом из узлов, находящихся в паре, во время репликации настроек. В зависимости от размера настроек, репликация может занять от нескольких секунд до нескольких минут.

На принимающем узле настройки имеются только в оперативной памяти устройства. Чтобы после синхронизации сохранить настройки во флэш-памяти, введите команду write memory all в системном пространстве узла, на котором группа перехода на другой ресурс 1 находится в активном состоянии. Команда реплицируется на второстепенный узел, который затем записывает настройки в память Flash. Использование ключевого слова allв сочетании с этой командой приводит к тому, что сохраняются системные и все контекстные настройки.

Примечание: Настройки запуска, сохраняемые на внешних серверах, доступны из любого узла сети, при этом нет необходимости сохранять их отдельно для каждого узла. Как вариант, можно скопировать файлы с настройками контекстов с диска главного узла на внешний сервер, затем скопировать их на диск вторичного узла, где они впоследствии становятся доступными после перезагрузки узла.

Репликация команд

После того, как оба узла запущены, команды реплицируются на другой узел следующим образом.

  • Команды, которые вводятся в контексте безопасности, реплицируются с узла, на котором контекст безопасности находится в активном по отношению к другому узлу состоянии.

    Примечание:  Контекст считается находящимся в активном состоянии на узле в том случае, если группа перехода на другой ресурс при сбое, которой он принадлежит, находится в активном состоянии на этом узле.

  • Команды, которые вводятся в пространстве "Выполнить", реплицируются с того узла, на котором группа перехода 1находится в активном состоянии, на тот узел, на котором группа перехода 1 находится в состоянии ожидания.

  • Команды, которые вводятся в контексте "Администрирование системы", реплицируются с того узла, на котором группа перехода 1находится в активном состоянии, на тот узел, на котором группа перехода 1 находится в состоянии ожидания.

Все команды конфигурации и файлов (copy, rename, delete, mkdir, rmdir и т. п.) реплицируются с учетом следующих исключений. Команды show, debug, mode, firewall и failover lan unit не реплицируются.

Невозможность передачи на соответствующий узел команд, предназначенных для репликации, приведет к нарушению синхронизации конфигурации. Эти изменения могут быть утрачены при следующей синхронизации настроек.

Можно использовать команду write standby, чтобы повторно синхронизировать конфигурации, в которых синхронизация была нарушена. В конфигурации аварийного перехода на активный резервный ресурс выполнение команды write standby приводит к следующему.

  • Если ввести команду write standby в системном пространстве "Выполнить", то системные настройки и настройки для всех контекстов безопасности устройства защиты будут записаны в память другого узла. В их число входят сведения о настройке для контекстов безопасности, которые находятся в состоянии ожидания. Эту команду необходимо вводить в пространстве "Выполнить" той системы и того узла, на котором группа перехода 1 находится в активном состоянии.

    Примечание: Если на вторичном узле существуют контексты защиты в активном состоянии, то команда write standby приводит к тому, что активные соединения в этих контекстах обрываются. Используйте команду failover active, на исходном узле, чтобы убедиться, что все контексты активны на этом узле, перед тем, как ввести команду write standby.

  • При вводе команды write standby в контексте защиты, во вторичный (принимающий) узел записывается только контекст защиты. Команду необходимо ввести в контекст безопасности того узла, где этот контекст находится в активном состоянии.

Реплицированные команды не сохраняются во флэш-памяти при репликации на вторичный узел. Они добавляются к текущей конфигурации. Чтобы сохранить реплицированные команды во флэш-память на обоих узлах, используйте команду write memory или copy running-config startup-config на том узле, на котором были выполнены изменения. Команда реплицируется на вторичный узел и запускает сохранение конфигурации в его флэш-памяти.

События, запускающие переход на другой ресурс

В конфигурации аварийного перехода на активный резервный ресурс переход на другой ресурс может быть запущен на уровне модуля в случае наступления одного из следующих событий.

  • Произошел аппаратный сбой узла.

  • Произошел сбой питания узла.

  • Произошел программный сбой узла.

  • Команда no failover active или failover active введена в пространство "Выполнить" системы.

Переход на другой ресурс при сбое запускается на уровне группы перехода в том случае, когда выполняется одно из следующих условий:

  • Слишком много отслеживаемых интерфейсов группы испытывают сбой.

  • Вводится команда no failover active group group_id или failover active group group_id.

Действия при переходе на другой ресурс

В конфигурации аварийного перехода на активный резервный ресурс переход на другой ресурс выполняется с учетом групп перехода, а не систем. Например, если прописать использование обоих групп перехода в качестве активных на главном узле, и группа 1 станет сбойной, тогда группа 2 главного узла останется активной, в то время как группа 1 станет активной на вторичном узле.

Примечание: При настройке конфигурации аварийного перехода на активный резервный ресурс убедитесь, что суммарный трафик обоих модулей не превышает возможностей каждого из них.

В таблице показаны действия переключения на резервный ресурс для каждого события сбоя. Для каждого случая отказа приводятся политика (возникает или не возникает переход), действия для активной группы перехода и действия для резервной группы перехода.

Событие сбоя

Политика

Действия активной группы

Действия группы в режиме ожидания

Примечания

Узел испытывает сбой питания или программного обеспечения

Переход на другой ресурс при сбое

Переходит в режим ожидания, маркируется как "Сбойный"

Переходит в режим ожидания. Помечает активную группу как сбойную

При сбое узла в паре, все активные группы перехода на этом узле маркируются как сбойные, после чего становятся активными на вторичном узле.

Сбой интерфейса при пороговом значении для активной группы перехода

Переход на другой ресурс при сбое

Сбой маркировки группы "Активный"

Становится активной

Нет

Сбой интерфейса при пороговом значении для ожидающей группы перехода

Нет перехода на другой ресурс при сбое

Нет действия

Помечает ожидающую группу как сбойную

При маркировании ожидающей группы перехода как "Сбойная", активная группа перехода не предпринимает попыток перехода, даже если пороговое значение сбоя интерфейса превышено.

Восстановление ранее активной группы перехода на другой ресурс

Нет перехода на другой ресурс при сбое

Нет действия

Нет действия

Если иное не предусмотрено с помощью команды preempt, группы перехода остаются активными на текущем узле.

Не удается разрешить ссылку перехода на другой ресурс при начале перехода

Нет перехода на другой ресурс при сбое

Становится активной

Становится активной

При сбое ссылки перехода при загрузке, обе группы перехода обеих узлов становятся активными.

Сбой ссылки перехода на другой ресурс при сбое с отслеживанием состояния соединений

Нет перехода на другой ресурс при сбое

Нет действия

Нет действия

В случае переключения на другой ресурс, сведения о состоянии устаревают и сеансы прекращаются.

Сбой ссылки перехода на другой ресурс во время выполнения операции

Нет перехода на другой ресурс при сбое

нет

нет

Каждый узел маркирует интерфейс перехода как сбойный. Необходимо восстановить ссылку перехода как можно скорее, поскольку не удастся выполнить переключение на резервный ресурс в режиме ожидания при сбое ссылки перехода.

Переход на другой ресурс при сбое с отслеживанием состояния соединений и обычный переход

Устройство защиты поддерживает два типа перехода на другой ресурс при сбое, "обычный" и "с отслеживанием состояния соединений". Этот раздел посвящен следующим вопросам:

Обычный переход на другой ресурс при сбое

При переходе на другой ресурс все активные соединения отключаются. Необходимо восстановить подключение клиентов при переходе на новый узел.

Переход на другой ресурс при сбое с отслеживанием состояния соединений

При включении режима перехода на другой ресурс при сбое с отслеживанием состояния соединений, активный узел постоянно передает сведения о состоянии соединения узлу, находящемуся в режиме ожидания. После перехода на другой ресурс на новом узле доступны те же сведения о состоянии соединения. Поддерживаемым приложениям конечного пользователя не требуется переподключение для того, чтобы сохранить тот же сеанс связи.

Сведения о состоянии соединения, которые передаются узлу в режиме ожидания, включают:

  • Таблица трансляции сетевой адресации NAT

  • Сведения о состоянии соединения по протоколу TCP

  • Сведения о состоянии соединения по протоколу UDP

  • Таблица ARP

  • Таблица моста уровня 2 (при запуске в режиме прозрачного брандмауэра)

  • Состояния соединений HTTP (если включена репликация HTTP)

  • ISAKMP и таблица IPSec SA

  • База данных подключений GTP PDP

Сведения, которые не передаются узлу в режиме ожидания при переходе на другой ресурс при сбое с отслеживанием состояния соединений:

  • Таблица соединений HTTP (если включена репликация HTTP)

  • Таблица аутентификации пользователей (uauth)

  • Таблицы маршрутизации

  • Сведения о состоянии модулей служб защиты

Примечание:  Если произойдет переход на другой ресурс во время активного сеанса Cisco IP SoftPhone, то вызов останется активным, поскольку сведения о состоянии соединения реплицируются на узел, находящийся в режиме ожидания. При завершении вызова клиент IP SoftPhone утрачивает соединение с диспетчером звонков Call Manager. Это происходит потому, что на узел в режиме ожидания сигнал отмены вызова CTIQBE не реплицируется. Когда клиент IP SoftPhone не получает ответа от диспетчера звонков Call Manager в течение некоторого периода времени, тогда для него Call Manager приобретает значение "Недоступный", после чего выполняется отмена регистрации.

Ограничения при настройке перехода на другой ресурс при сбое

Нельзя настроить переход на другой ресурс при следующих типах адресов IP:

  • Адреса IP, полученные автоматически при помощи DHCP

  • Адреса IP, полученные автоматически при помощи PPPoE

  • Адреса IPv6

Кроме того, применимы следующие ограничения.

  • Переход на другой ресурс при сбое с отслеживанием состояния соединений не поддерживается для адаптивного устройства защиты ASA 5505.

  • Конфигурация аварийного перехода на активный резервный ресурс не поддерживается на устройствах адаптивной защиты серии ASA 5505.

  • Не допускается настраивать переход на другой ресурс при сбое при включенном режиме Easy VPN Remote на адаптивном устройстве защиты ASA 5505.

  • Функция аварийного перехода для VPN-соединений не поддерживается в многоконтекстном режиме .

Неподдерживаемые функции

Многоконтекстный режим не поддерживает следующие функции.

  • Динамические протоколы маршрутизации

    Контексты безопасности поддерживают только статические пути. В многоконтекстом режиме не поддерживается использование функций OSPF или RIP

  • VPN

  • Многоадресная конфигурация

Настройка конфигурации аварийного перехода на активный резервный ресурс с использованием кабельных соединений

Предварительные условия

Перед началом работы следует убедиться в следующем.

  • Оба узла обладают одинаковой конфигурацией аппаратного и программного обеспечения, и для них установлены необходимые лицензии.

  • Оба узла находятся в одном режиме (одиночный, многоконтекстный, прозрачный или маршрутизируемый).

Диаграмма сети

В этом документе используется следующая схема сети.

pix-activeactive-config1.gif

Следуйте данным инструкциям, чтобы настроить конфигурацию аварийного перехода на активный резервный ресурс с использованием последовательного кабеля для создания резервного соединения. Команды для этой задачи вводятся на главном узле пары. Главный узел — это тот узел, к которому подключен кабель с маркировкой "Primary" ("Главный"). Для устройств, работающих в многоконтекстном режиме, команды вводятся в системном пространстве "Выполнить", если не указаны иные условия.

При использовании кабельного переключения на другой ресурс при сбое не требуется использовать программу самозагрузки на вторичном узле пары перехода. Оставьте вторичный узел в выключенном состоянии до тех пор, пока не получены инструкции о его запуске.

Примечание: Кабельное соединение пары перехода доступно только для устройств защиты серии PIX 500.

Следуйте данным инструкциям, чтобы настроить конфигурацию аварийного перехода на активный резервный ресурс с использованием кабельных соединений.

  1. Подключите кабель перехода на другой ресурс к устройству защиты серии PIX 500. Убедитесь, что кабель, маркированный как "Primary" (главный) подключен к узлу, который используется в качестве первичного, а кабель, маркированный "Secondary" (вторичный) к узлу, который будет использоваться в качестве вторичного.

  2. Включите основной узел.

  3. Если эти действия еще не были выполнены, настройте активный и пассивный адрес IP для каждого интерфейса передачи данных (с использованием маршрутизатора), для адреса IP для управления (прозрачный режим), или для интерфейса только для управления. Адрес IP для режима ожидания используется на том узле пары, который в настоящий момент находится в режиме ожидания. Этот адрес должен находиться в пространстве той же подсети, что и активный адрес IP.

    Необходимо настроить адреса интерфейсов из каждого контекста. Используйте команду changeto context, чтобы переключаться между контекстами. Командная строка принимает значение вида hostname/context(config-if)#, где context — имя текущего контекста. Необходимо ввести адрес IP для каждого контекста в режиме прозрачного брандмауэра в многоконтекстном режиме.

    Примечание: Не выполняйте настройку адреса IP для ссылки перехода на другой ресурс при сбое с отслеживанием состояния соединения в том случае, если планируется использование выделенного интерфейса перехода на другой ресурс. Команда failover interface ip будет использована на одном из следующих шагов для настройки выделенного интерфейса перехода на другой ресурс с отслеживанием состояния соединения.

    hostname/context(config-if)#ip address active_addr netmask standby standby_addr
    
    

    В примере, внешний интерфейс для контекста context1 первичного PIX настраивается следующим образом:

    PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
    

    для контекста Context2

    PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
    

    В режиме маршрутизированного брандмауэра и для интерфейса только для управления, эта команда вводится в режиме настройки интерфейса для каждого интерфейса. В режиме прозрачного брандмауэра эта команда вводится в режиме общей настройки.

  4. Чтобы включить переход на другой ресурс при сбое с отслеживанием состояния соединений, следует настроить ссылку перехода на другой ресурс.

    1. Укажите интерфейс, который будет использоваться для создания ссылки перехода на другой ресурс при сбое с отслеживанием состояния соединений:

      hostname(config)#failover link if_name phy_if
      
      

      В этом примере используется интерфейс Ethernet2 для обмена сведениями о состоянии ссылки перехода на другой ресурс с отслеживанием состояния соединений.

      failover link stateful Ethernet2

      Аргумент if_name присваивает логическое имя интерфейсу, указанному при помощи аргумента phy_if. Аргумент phy_if может быть именем физического порта, например Ethernet1, или предварительно созданным подчиненным интерфейсом, например, Ethernet0/2.3. Этот интерфейс не должен использоваться для любой другой цели (кроме ссылки перехода на другой ресурс с отслеживанием состояния соединений).

    2. Присвойте активный и пассивный адрес IP ссылке перехода на другой ресурс с отслеживанием состояния соединений.

      hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
      
      

      В этом примере, IP-адрес 10.0.0.1 используется в качестве активного, а IP-адрес 10.0.0.2 используется в качестве пассивного адреса ссылки перехода на другой ресурс.

      PIX1(config)#failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2
      

      Пассивный адрес IP должен находиться в той же подсети, что и активный адрес IP. Не требуется указывать маску подсети для пассивного адреса IP.

      IP и MAC адреса ссылки перехода на другой ресурс не изменяются при выполнении перехода на другой ресурс кроме случая, когда для перехода на другой ресурс с отслеживанием состояния соединений используется обычный интерфейс передачи данных. Активный адрес IP всегда остается присвоенным главному узлу, в то время как пассивный адрес IP всегда останется присвоенным вторичному узлу.

    3. Включение интерфейса:

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      
  5. Настройка групп перехода на другой ресурс при сбое. Можно создать не более двух групп перехода на другой ресурс при сбое. Команда failover group создает указанную группу перехода, если она еще не существует, и переходит к режиму настройки группы перехода на другой ресурс при сбое.

    Для каждой группы перехода на другой ресурс необходимо указать, имеет ли она маркировку primary или secondary (первичный или вторичный), с использованием команд primary или secondary. Можно установить одинаковые параметры для обеих групп перехода на другой ресурс. Для конфигураций, предусматривающих балансировку нагрузки, необходимо установить каждую группу перехода для отдельного предпочитаемого узла.

    В следующем примере описано назначение группы перехода 1 как главной и группы 2 как вторичной:

    hostname(config)#failover group 1
    hostname(config-fover-group)#primary
    hostname(config-fover-group)#exit
    hostname(config)#failover group 2
    hostname(config-fover-group)#secondary
    hostname(config-fover-group)#exit
    
  6. Можно назначить каждый контекст пользователя для группы перехода на другой ресурс с помощью команды join-failover-group в режиме настройки контекста.

    Любые неназначенные контексты автоматически назначаются группе перехода 1. Контекст администрирования всегда является членом группы перехода 1.

    Введите следующие команды, чтобы назначить каждый контекст группе перехода на другой ресурс при сбое:

    hostname(config)#context context_name
    
    hostname(config-context)#join-failover-group {1 | 2}
    hostname(config-context)#exit
    
  7. Включение перехода на другой ресурс при сбое:

    hostname(config)#failover
    
  8. Включение второго узла и включение перехода на другой ресурс, если это еще не выполнено:

    hostname(config)#failover
    

    Активный узел отправляет настройки конфигурации в активную память узла в режиме ожидания. В ходе синхронизации конфигурации, сообщения "Начало репликации настроек: отправка другому члену пары" и "Окончание репликации настроек в другом члене пары" отображаются в основной консоли.

  9. Сохранение настроек во флэш-память на главном узле. Поскольку команды, которые вводятся на главном узле, реплицируются на вторичный узел, вторичный узел также сохраняет свои настройки во флэш-память.

    hostname(config)#copy running-config startup-config
    
  10. При необходимости можно принудительно выполнить переключение любой группы перехода на другой ресурс, которая активна на главном узле, в активное состояние на вторичном узле. Чтобы принудительно выполнить такой переход, введите следующую команду в пространстве "Выполнить" на главном узле:

    hostname#no failover active group group_id
    
    

    Аргумент group_id указывает группу, которую требуется сделать активной на вторичном узле.

Конфигурации

В этом документе используются следующие конфигурации.

PIX1 - System Configuration

PIX1#show running-config
: Saved
PIX Version 7.2(2) <system>
!
hostname PIX1
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto

!--- Enable the physical and logical interfaces in the system execution
!--- space by giving "no shutdown" before configuring the same in the contexts

!
interface Ethernet0
!
interface Ethernet0.1 vlan 2
!
interface Ethernet0.2 vlan 4
!
interface Ethernet1
!
interface Ethernet1.1 vlan 3
!
interface Ethernet1.2 vlan 5
!
!--- Configure "no shutdown" in the stateful failover interface 
!--- of both Primary and secondary PIX.

interface Ethernet2 description STATE Failover Interface
!
interface Ethernet3
 shutdown
!
interface Ethernet4
 shutdown
!
interface Ethernet5
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
!--- Command to enable the failover feature

failover
!--- Command to assign the interface for stateful failover

failover link stateful Ethernet2
!--- Command to configure the active and standby IP's for the 
!--- stateful failover

failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2
!--- Configure the group 1 as primary

failover group 1
!--- Configure the group 1 as secondary

failover group 2 secondary
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  config-url flash:/admin.cfg
!
!--- Command to create a context called "context1"

context context1
!--- Command to allocate the logical interfaces to the contexts

  allocate-interface Ethernet0.1 inside_context1
  allocate-interface Ethernet1.1 outside_context1
  config-url flash:/context1.cfg
!--- Assign this context to the failover group 1

  join-failover-group 1
!

context context2
  allocate-interface Ethernet0.2 inside_context2
  allocate-interface Ethernet1.2 outside_context2
  config-url flash:/context2.cfg
  join-failover-group 2
!

prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

PIX1 - Context1 Configuration

PIX1/context1(config)#show running-config
: Saved
:
PIX Version 7.2(2) <context>
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside_context1
 nameif inside
 security-level 100
!--- Configure the active and standby IP's for the logical inside 
!--- interface of the context1.

 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!
interface outside_context1
 nameif outside
 security-level 0
!--- Configure the active and standby IP's for the logical outside 
!--- interface of the context1.

 ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list 100 extended permit tcp any host 172.16.1.1 eq www
pager lines 24
mtu inside 1500
mtu outside 1500
monitor-interface insidemonitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (inside,outside) 172.16.1.1 192.168.1.5 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

PIX1 - Context2 Configuration

PIX1/context2(config)#show running-config
: Saved
:
PIX Version 7.2(2) <context>
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside_context2
 nameif inside
 security-level 100
!--- Configure the active and standby IP's for the logical inside 
!--- interface of the context2.

 ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
!
interface outside_context2
 nameif outside
 security-level 0
!--- Configure the active and standby IP's for the logical outside 
!--- interface of the context2.

 ip address 172.16.2.1 255.255.255.0 standby 172.16.2.2
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list 100 extended permit tcp any host 172.16.2.1 eq www
pager lines 24
mtu inside 1500
mtu outside 1500
monitor-interface insidemonitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (inside,outside) 172.16.2.1 192.168.2.5 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.2.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Настройка конфигурации аварийного перехода на активный резервный ресурс с использованием интерфейса ЛВС

Диаграмма сети

В этом документе используется следующая схема сети.

pix-activeactive-config2.gif

В разделе описан способ настройки конфигурации аварийного перехода на активный резервный ресурс с использованием Ethernet-канала в качестве соединения аварийного перехода. В процессе настройки перехода на другой ресурс при сбое с помощью соединения LAN, необходимо установить правила загрузки для вторичного узла, чтобы он мог выполнить распознавание ссылки перехода перед тем, как вторичное устройство получит рабочую конфигурацию от первичного устройства.

В этом разделе освещены следующие темы:

Настройка первичного узла

Следуйте этим инструкциям, чтобы настроить первичный узел конфигурации аварийного перехода на активный резервный ресурс

  1. Если эти действия еще не были выполнены, настройте активный и пассивный IP-адрес для каждого интерфейса передачи данных (с использованием маршрутизатора), для IP-адреса для управления (прозрачный режим), или для интерфейса только для управления. IP-адрес для режима ожидания используется на том узле пары, который в настоящий момент находится в режиме ожидания. Этот адрес должен находиться в пространстве той же подсети, что и активный IP-адрес.

    Необходимо настроить адреса интерфейсов из каждого контекста. Используйте команду changeto context, чтобы переключаться между контекстами. Командная строка принимает значение вида hostname/context(config-if)#, где context — имя текущего контекста. В режиме прозрачного брандмауэра необходимо ввести IP-адрес для управления для каждого контекста.

    Примечание: Не выполняйте настройку IP-адреса для ссылки перехода на другой ресурс при сбое с отслеживанием состояния соединения в том случае, если планируется использование выделенного интерфейса перехода на другой ресурс. Команда failover interface ip будет использована на одном из следующих шагов для настройки выделенного интерфейса перехода на другой ресурс с отслеживанием состояния соединения.

    hostname/context(config-if)#ip address active_addr netmask standby standby_addr
    
    

    В данном примере внешний интерфейс для контекста context1 первичного PIX настраивается следующим образом:

    PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
    

    для контекста Context2

    PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
    

    В режиме маршрутизированного брандмауэра и для интерфейса. предназначенного только для управления, эта команда вводится в режиме настройки интерфейса для каждого интерфейса. В режиме прозрачного брандмауэра эта команда вводится в режиме общей настройки.

  2. Настройте основные параметры перехода на другой ресурс при сбое, используя системное пространство "Выполнить"

    1. (только для устройств защиты PIX) включение перехода на другой ресурс при сбое с использованием перехода на основе LAN:

      hostname(config)#failover lan enable
      
    2. Выбор узла в качестве главного:

      hostname(config)#failover lan unit primary
      
    3. Укажите ссылку перехода на другой ресурс:

      hostname(config)#failover lan interface if_name phy_if
      
      

      В этом примере интерфейс ethernet 3 используется как интерфейс перехода на другой ресурс при сбое на основе LAN.

      PIX1(config)#failover lan interface LANFailover ethernet3
      

      Аргумент if_name присваивает логическое имя интерфейсу, указанному при помощи аргумента phy_if. Аргумент phy_if может быть именем физического порта, например Ethernet1, или предварительно созданным подчиненным интерфейсом, например, Ethernet0/2.3. Для устройств защиты ASA 5505 аргумент phy_if указывает сеть VLAN. Этот интерфейс не должен использоваться для любой другой цели (кроме, дополнительно, ссылки перехода на другой ресурс с отслеживанием состояния соединений).

    4. Определение активного и пассивного адреса IP ссылки перехода на другой ресурс при сбое:

      hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
      
      

      В данном примере адрес 10.1.0.1 используется в качестве активного, а 10.1.0.2 используется в качестве пассивного IP-адреса для настройки интерфейсов перехода на другой ресурс при сбое.

      PIX1(config)#failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2
      

      Пассивный IP-адрес должен находиться в той же подсети, что и активный IP-адрес. Не требуется указывать маску подсети для пассивного IP-адреса. IP-адреса и MAC-адреса перехода на другой ресурс при сбое не изменяются во время выполнения перехода. Активный IP-адрес всегда остается присвоенным главному узлу, в то время как пассивный IP-адрес всегда останется присвоенным вторичному узлу.

  3. Чтобы включить переход на другой ресурс при сбое с отслеживанием состояния соединений, следует настроить ссылку перехода на другой ресурс.

    1. Укажите интерфейс, который будет использоваться для создания ссылки перехода на другой ресурс при сбое с отслеживанием состояния соединений:

      hostname(config)#failover link if_name phy_if
      
      
      PIX1(config)#failover link stateful уthernet2
      

      Аргумент if_name присваивает логическое имя интерфейсу, указанному при помощи аргумента phy_if. Аргумент phy_if может быть именем физического порта, например Ethernet1, или предварительно созданным подчиненным интерфейсом, например, Ethernet0/2.3. Этот интерфейс не должен использоваться для любой другой цели (кроме ссылки перехода на другой ресурс с отслеживанием состояния соединений).

      Примечание: Если ссылка перехода на другой ресурс при сбое с отслеживанием состояния соединений использует ссылку перехода или обычный интерфейс передачи данных, то необходимо указать аргумент if_name.

    2. Присвойте активный и пассивный IP-адрес ссылке перехода на другой ресурс с отслеживанием состояния соединений.

      Примечание: Если ссылка перехода на другой ресурс при сбое с отслеживанием состояния соединений использует ссылку перехода или интерфейс передачи данных, пропустите этот шаг. Активный и пассивный IP-адреса уже определены для интерфейса.

      hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
      
      
      PIX1(config)#failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2
      

      Пассивный адрес IP должен находиться в той же подсети, что и активный IP-адрес. Не требуется указывать маску подсети для пассивного адреса. Адреса IP и MAC ссылки перехода на другой ресурс при сбое не изменяются при выполнении перехода. Активный адрес IP всегда остается присвоенным главному узлу, в то время как пассивный адрес IP всегда останется присвоенным вторичному узлу.

    3. Включение интерфейса.

      Примечание: Если ссылка перехода на другой ресурс при сбое с отслеживанием состояния соединений использует ссылку перехода или интерфейс передачи данных, пропустите этот шаг. Включение интерфейса было уже выполнено.

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      
  4. Настройка групп перехода на другой ресурс при сбое. Можно создать не более двух групп перехода на другой ресурс при сбое. Команда failover group создает указанную группу перехода, если она не существует, и выполняет переход в режим конфигурации перехода на другой ресурс при сбое.

    При помощи команды primary (главная) или secondary (второстепенная) необходимо указать для каждой группы перехода , будет ли она являться главной или второстепенной. Можно назначить одинаковые предпочтения обеим группам перехода на другой ресурс. Для конфигураций, предусматривающих балансировку нагрузки, необходимо назначить каждую группу перехода своему предпочитаемому узлу.

    В следующем примере описано назначение группы перехода 1 как главной и группы 2 как вторичной:

    hostname(config)#failover group 1
    hostname(config-fover-group)#primary
    hostname(config-fover-group)#exit
    hostname(config)#failover group 2
    hostname(config-fover-group)#secondary
    hostname(config-fover-group)#exit
    
  5. Назначьте каждый контекст пользователя группе перехода на другой ресурс при помощи команды join-failover-group в режиме настройки контекста.

    Любые неназначенные контексты автоматически назначаются группе перехода на другой ресурс при сбое Контекст администрирования всегда является членом группы перехода 1.

    Введите следующие команды, чтобы назначить каждый контекст группе перехода на другой ресурс при сбое:

    hostname(config)#context context_name
    
    hostname(config-context)#join-failover-group {1 | 2}
    hostname(config-context)#exit
    
  6. Включение перехода на другой ресурс при сбое:

    hostname(config)#failover
    

Настройка вторичного узла

При настройке конфигурации аварийного перехода на активный резервный ресурс с использованием интерфейса ЛВС необходимо на вторичном модуле задать распознавание соединения аварийного перехода при начальной загрузке. Это позволит вторичному узлу взаимодействовать и получать рабочие настройки от основного узла.

Следуйте данным инструкциям, чтобы настроить процесс начальной загрузки для вторичного модуля в конфигурации аварийного перехода на активный резервный ресурс.

  1. (только для устройств защиты PIX) включение перехода на другой ресурс при сбое с использованием перехода на основе LAN

    hostname(config)#failover lan enable
    
  2. Определение интерфейса перехода на другой ресурс при сбое. Используйте те же настройки, которые использовались для главного узла:

    1. Укажите интерфейс, который будет использоваться для создания ссылки перехода на другой ресурс при сбое

      hostname(config)#failover lan interface if_name phy_if
      
      
      PIX1(config)#failover lan interface LANFailover ethernet3

      Аргумент if_name присваивает логическое имя интерфейсу, указанному при помощи аргумента phy_if. Аргумент phy_if может задаваться именем физического порта, например Ethernet1, или предварительно созданного подчиненного интерфейса, например, Ethernet0/2.3. Для устройств защиты ASA 5505 аргумент phy_if указывает сеть VLAN.

    2. Присвойте активный и пассивный адрес IP ссылке перехода на другой ресурс при сбое:

      hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
      
      
      PIX1(config)#failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2
      

      Примечание: Введите команду точно в таком же виде, как она была введена для главного узла при настройке интерфейса перехода на другой ресурс при сбое

      Пассивный IP-адрес должен находиться в той же подсети, что и активный IP-адрес. Не требуется указывать маску подсети для пассивного адреса.

    3. Включение интерфейса.

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      
  3. Определите узел как вторичный:

    hostname(config)#failover lan unit secondary
    

    Примечание: Этот шаг не обязателен, поскольку узлы по умолчанию назначены вторичными узлами, если они до этого не были настроены как первичные.

  4. Включение перехода на другой ресурс при сбое

    hostname(config)#failover
    

    После включения перехода на другой ресурс при сбое, активный узел отправляет настройки, находящиеся в его оперативной памяти, узлу, который находится в режиме ожидания. В ходе синхронизации конфигурации, сообщения Начало репликации настроек: отправка паре и "Окончание репликации настроек паре показываются в основой консоли.

  5. После того, как в запущенной конфигурации закончена репликация, введите следующую команду, чтобы сохранить настройки в флэш-памяти:

    hostname(config)#copy running-config startup-config
    
  6. При необходимости можно принудительно выполнить переключение любой группы перехода на другой ресурс, которая активна на главном узле, в активное состояние на вторичном узле. Чтобы принудительно выполнить такой переход, введите следующую команду в пространстве "Выполнить" на главном узле:

    hostname#no failover active group group_id
    

    Аргумент group_id указывает группу, которую требуется сделать активной на вторичном узле.

Конфигурации

В этом документе используются следующие конфигурации:

Primary PIX

PIX1(config)#show running-config
: Saved
:
PIX Version 7.2(2) <system>
!
hostname PIX1
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0
!
interface Ethernet0.1
 vlan 2
!
interface Ethernet0.2
 vlan 4
!
interface Ethernet1
!
interface Ethernet1.1
 vlan 3
!
interface Ethernet1.2
 vlan 5
!
!--- Configure "no shutdown" in the stateful failover interface as well as 
!--- LAN Failover interface of both Primary and secondary PIX/ASA.

interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 description LAN Failover Interface
!
interface Ethernet4
 shutdown
!
interface Ethernet5
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
failover
failover lan unit primary
!--- Command to assign the interface for LAN based failover

failover lan interface LANFailover Уthernet3
!--- Command to enable the LAN based failover

failover lan enable
!--- Configure the Authentication/Encryption key

failover key *****
failover link stateful Ethernet2
!--- Configure the active and standby IP's for the LAN based failover

failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2
failover group 1
failover group 2
  secondary
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  config-url flash:/admin.cfg
!

context context1
  allocate-interface Ethernet0.1 inside_context1
  allocate-interface Ethernet1.1 outside_context1
  config-url flash:/context1.cfg
  join-failover-group 1
!

context context2
  allocate-interface Ethernet0.2 inside_context2
  allocate-interface Ethernet1.2 outside_context2
  config-url flash:/context2.cfg
  join-failover-group 2
!

prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Примечание: Обратитесь к разделам "Настройка перехода на другой ресурс при сбое при помощи кабеля", Настройка PIX1 - Context1 и Настройка PIX1 - Context2 за сведениями о конфигурации контекста в случае обеспечения отказоустойчивости с помощью ЛВС.

Вторичный PIX

PIX2#show running-config 

failover
failover lan unit secondary
failover lan interface LANFailover Ethernet3
failover lan enable
failover key *****
failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2

Проверка

Использование команды show failover

В этом разделе описан результат использования команды show failover . На каждом узле можно выполнить проверку состояния перехода на другой ресурс при сбое при помощи команды show failover .

Primary PIX

PIX1(config-subif)#show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: LANFailover Ethernet3 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 7.2(2), Mate 7.2(2)
Group 1 last failover at: 06:12:45 UTC Apr 16 2007
Group 2 last failover at: 06:12:43 UTC Apr 16 2007

  This host:    Primary
  Group 1       State:          Active
                Active time:    359610 (sec)
  Group 2       State:          Standby Ready
                Active time:    3165 (sec)

                  context1 Interface inside (192.168.1.1): Normal
                  context1 Interface outside (172.16.1.1): Normal
                  context2 Interface inside (192.168.2.2): Normal
                  context2 Interface outside (172.16.2.2): Normal

  Other host:   Secondary
  Group 1       State:          Standby Ready
                Active time:    0 (sec)
  Group 2       State:          Active
                Active time:    3900 (sec)

                  context1 Interface inside (192.168.1.2): Normal
                  context1 Interface outside (172.16.1.2): Normal
                  context2 Interface inside (192.168.2.1): Normal
                  context2 Interface outside (172.16.2.1): Normal

Stateful Failover Logical Update Statistics
        Link : stateful Ethernet2 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         48044      0          48040      1
        sys cmd         48042      0          48040      1
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         2          0          0          0
        Xlate_Timeout   0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       72081
        Xmit Q:         0       1       48044

Вторичный PIX

PIX1(config)#show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Secondary
Failover LAN Interface: LANFailover Ethernet3 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 7.2(2), Mate 7.2(2)
Group 1 last failover at: 06:12:46 UTC Apr 16 2007
Group 2 last failover at: 06:12:41 UTC Apr 16 2007

  This host:    Secondary
  Group 1       State:          Standby Ready
                Active time:    0 (sec)
  Group 2       State:          Active
                Active time:    3975 (sec)

                  context1 Interface inside (192.168.1.2): Normal
                  context1 Interface outside (172.16.1.2): Normal
                  context2 Interface inside (192.168.2.1): Normal
                  context2 Interface outside (172.16.2.1): Normal

  Other host:   Primary
  Group 1       State:          Active
                Active time:    359685 (sec)
  Group 2       State:          Standby Ready
                Active time:    3165 (sec)

                  context1 Interface inside (192.168.1.1): Normal
                  context1 Interface outside (172.16.1.1): Normal
                  context2 Interface inside (192.168.2.2): Normal
                  context2 Interface outside (172.16.2.2): Normal

Stateful Failover Logical Update Statistics
        Link : stateful Ethernet2 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         940        0          942        2
        sys cmd         940        0          940        2
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          2          0
        Xlate_Timeout   0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       1419
        Xmit Q:         0       1       940

Используйте команду show failover state, чтобы проверить состояние.

Primary PIX

PIX1(config)#show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
    Group 1    Active         None
    Group 2    Standby Ready  None
Other host -   Secondary
    Group 1    Standby Ready  None
    Group 2    Active         None

====Configuration State===
        Sync Done
====Communication State===
        Mac set

Вторичный узел

PIX1(config)#show failover state

               State          Last Failure Reason      Date/Time
This host  -   Secondary
    Group 1    Standby Ready  None
    Group 2    Active         None
Other host -   Primary
    Group 1    Active         None
    Group 2    Standby Ready  None

====Configuration State===
        Sync Done - STANDBY
====Communication State===
        Mac set

Чтобы проверить IP-адреса узла перехода на другой ресурс, используйте команду show failover interface.

Главный узел

PIX1(config)#show failover interface
        interface stateful Ethernet2
                System IP Address: 10.0.0.1 255.255.255.0
                My IP Address    : 10.0.0.1
                Other IP Address : 10.0.0.2
        interface LANFailover Ethernet3
                System IP Address: 10.1.0.1 255.255.255.0
                My IP Address    : 10.1.0.1
                Other IP Address : 10.1.0.2

Вторичный узел

PIX1(config)#show failover interface
        interface LANFailover Ethernet3
                System IP Address: 10.1.0.1 255.255.255.0
                My IP Address    : 10.1.0.2
                Other IP Address : 10.1.0.1
        interface stateful Ethernet2
                System IP Address: 10.0.0.1 255.255.255.0
                My IP Address    : 10.0.0.2
                Other IP Address : 10.0.0.1

Вид просматриваемого интерфейса

Чтобы показать состояние отслеживаемых интерфейсов, выполните следующие действия. В одноконтекстном режиме введите команду show monitor-interface в режиме глобальной настройки. В многоконтекстном режиме введите команду show monitor-interface внутри контекста.

Primary PIX

PIX1/context1(config)#show monitor-interface
        This host: Secondary - Active
                Interface inside (192.168.1.1): Normal
                Interface outside (172.16.1.1): Normal
        Other host: Secondary - Standby Ready
                Interface inside (192.168.1.2): Normal
                Interface outside (172.16.1.2): Normal

Вторичный PIX

PIX1/context1(config)#show monitor-interface
        This host: Secondary - Standby Ready
                Interface inside (192.168.1.2): Normal
                Interface outside (172.16.1.2): Normal
        Other host: Secondary - Active
                Interface inside (192.168.1.1): Normal
                Interface outside (172.16.1.1): Normal

Отображение команд перехода на другой ресурс при сбое в текущей конфигурации

Чтобы выполнить просмотр команды перехода на другой ресурс при сбое в действующей конфигурации, введите команду

hostname(config)#show running-config failover

Будет выполнено отображение всех команд, связанных с переходом на другой ресурс при сбое. На узлах, которые работают в многоконтекстном режиме, введите команду show running-config failover в системном пространстве "Выполнить". Введите команду show running-config all failover, чтобы отобразить команды перехода в рабочей конфигурации с включением команд, для которых не было изменено значение по умолчанию.

Тестирование функциональных возможностей перехода на другой ресурс при сбое

Чтобы выполнить проверку функциональных возможностей при переходе на другой ресурс при сбое, выполните следующие действия.

  1. Проверьте способность активного узла или группы перехода транслировать трафик в соответствии с ожиданиями с помощью передачи по FTP (например) между различными узлами через различные интерфейсы.

  2. Принудительно выполните переход на ресурс в режиме ожидания с помощью следующей команды.

    • Для конфигурации аварийного перехода на активный резервный ресурс на модуле с активной группой перехода, содержащей интерфейс, соединяющий хосты, введите следующую команду:

      hostname(config)#no failover active group group_id
      
      
  3. Используйте протокол FTP для передачи другого файла между обоими узлами.

  4. Если проверка выполнена неудачно, введите команду show failover, чтобы проверить состояние перехода на другой ресурс при сбое.

  5. По окончании можно вновь перевести узел или группу перехода в активное состояние с помощью данной команды.

    • Для конфигурации аварийного перехода на активный резервный ресурс на модуле с активной группой перехода, содержащей интерфейс, соединяющий хосты, введите команду

      hostname(config)#failover active group group_id
      
      

Принудительный переход на другой ресурс при сбое

Чтобы принудительно перевести узел из режима ожидания в активное состояние, введите одну из следующих команд.

Введите следующую команду в системном пространстве "Выполнить" узла, на котором группа перехода находится в режиме ожидания:

hostname#failover active group group_id

Введите следующую команду в системном пространстве "Выполнить" узла, на котором группа перехода находится в активном состоянии

hostname#no failover active group group_id

Ввод следующей команды в системном пространстве "Выполнить" приведет к тому, что все группы перехода на другой ресурс становятся активными:

hostname#failover active

Отключение режима перехода на другой ресурс при сбое

Чтобы отключить переход на другой ресурс при сбое, введите команду

hostname(config)#no failover

Если отключить переход на другой ресурс при сбое на паре Active/Standby (активный/ожидающий), то активное и пассивное состояние каждого узла будет применено до перезапуска системы. Например, узел находится в режиме ожидания, и оба узла не начнут транслировать трафик. Сведения о том, как узел в режиме ожидания сделать активным (даже при отключенном обеспечении отказоустойчивости), см. в разделе Принудительный переход на другой ресурс.

Если отключить переход на другой ресурс при сбое в паре Active/Active (активный/активный), группы перехода останутся в активном состоянии на том узле, на котором они активны в данный момент, вне зависимости от предпочитаемого согласно настройкам узла. Команда no failover может быть введена в системном пространстве "Выполнить".

Восстановление сбойного узла

Чтобы вернуть отказавшую Active/Active (активная/активная) группу аварийного переключения в исправное состояние, введите команду

hostname(config)#failover reset group group_id

При восстановлении отказавшего модуля в исправное состояние автоматического перехода в активное состояние не происходит; восстановленные узлы или группы продолжают оставаться в режиме ожидания до тех пор, пока они не становятся активными вследствие аварийного переключения (при сбое или принудительно). Исключение составляет группа перехода, настроенная с помощью команды preempt. Если группа ранее была активной, она становится вновь активной в случае, если она была настроена с помощью команды preempt и если узел, на котором произошел сбой группы, установлен в качестве предпочитаемого.

Поиск и устранение неполадок

При переключении на другой ресурс, оба устройства защиты отправляют системные сообщения. Этот раздел посвящен следующим вопросам

  1. Сообщения системы перехода на другой ресурс при сбое

  2. Сообщения отладки

  3. SNMP

Сообщения системы перехода на другой ресурс при сбое

Устройство защиты выдает ряд системных сообщений, которые относятся к переходу на другой ресурс при сбое на уровне 2, что указывает на критическое состояние. Сведения о том, как просмотреть эти сообщения, включить ведение журнала и отобразить описание системных сообщений, см. в разделе Cisco Настройка ведения журналов и описание сообщений системного журнала в модулях защиты.

Примечание: При переключении с использованием коммутаторов, аварийное переключение автоматически отключается, и выполняется монтирование интерфейсов с созданием сообщений с номерами 411001 и 411002. Это обычное действие.

Сообщения отладки

Чтобы отобразить сообщения отладки, введите команду debug fover . Для получения дополнительных сведений см. Cisco Справочник по командам устройства защиты.

Примечание: Поскольку отладке выделен высокий приоритет при обработке в ЦП, это может значительно повлиять на производительность системы. По этой причине используйте команды debug fover только во время поиска и устранения определенных проблем или в ходе сеансов устранения неполадок при участии технических специалистов Cisco.

SNMP

Чтобы получить ловушки системного журнала SNMP для аварийного переключения, настройте SNMP-агент на отправку ловушек SNMP в станции управления SNMP, задайте сервер системного журнала и скомпилируйте таблицу MIB системного журнала Cisco на станции управления SNMP. Дополнительные сведения о командах snmp-server и logging см. в Cisco Справочник по командам устройства защиты.

Время учета команд перехода на другой ресурс при сбое

Чтобы указать время опроса узла аварийного переключения и время удержания, введите команду failover polltime в режиме глобальной настройки.

Время failover polltime unit msec [time] выражает временной интервал для проверки наличия резервного модуля путем опроса с использованием сообщений приветствия.

Аналогично команда failover holdtime unit msec [time] представляет собой временной интервал, во время которого модуль должен получить сообщение приветствия через соединения аварийного переключения. По прошествии этого периода модуль объявляется отказавшим.

Обратитесь к разделу failover polltime для получения дополнительных сведений.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 91336