Интерфейсы и модули Cisco : Сервисный модуль межсетевого экрана Cisco Catalyst серии 6500

Catalyst 6500 FWSM - замена модуля переключения при отказе после отказа оборудования

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

В этом документе описана процедура настройки и обновления служебного модуля межсетевого экрана (FWSM), устанавливаемого взамен вышедшего из строя. Здесь также описан порядок настройки коммутатора Catalyst серии 6500, позволяющий свести к минимуму продолжительность простоя. Описание относится к FWSM как к одному из парных компонентов конфигурации с аварийным переключением и модулю FWSM, который уже физически заменен (подробное описание замены см. в руководстве по установке оборудования).

Предварительные условия

Требования

Перед выполнением процедур, описанных в настоящем документе:

  • Убедитесь в том, что настроены параметры коммутатора.

    Примечание: Этот документ не описывает начальную конфигурацию FWSM и коммутатора. Предполагается, что FWSM и коммутатор до отказа оборудования исправно функционировали.

Используемые компоненты

Приводимая в настоящем документе информация относится к служебному модулю межсетевого экрана Cisco Catalyst серии 6500.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Обзор

Эти шаги сообщают вам в конфигурации, обновлении и замене FWSM. В последующих разделах подробно изложены необходимые шаги.

  1. В коммутаторе, в котором устанавливается заменяющий модуль FWSM, определите отдельную сеть VLAN как VLAN межсетевого экрана (удалите старые определения VLAN межсетевого экрана).

  2. Подключите ПК к коммутатору Catalyst 6000 и назначьте порт коммутатора сети VLAN, которая перед этим была определена.

  3. Установите сеанс с FWSM и включите интерфейс.

  4. Загрузите ПО, используя ПК как TFTP-сервер. Убедитесь, что используется та же версия кода, что и на текущем активном устройстве.

  5. Настройте основные параметры аварийного переключения на модуле FWSM и восстановите старые сети VLAN межсетевого экрана и интерфейс переключения при отказе (удалите интерфейс, настроенный для протокола TFTP). В это время происходит копирование данных конфигурации, и FWSM становится резервным модулем.

Обновление кода FWSM

Для того, чтобы аварийное переключение действовало, два модуля FWSM должны работать с одной и той же версией кода. В случае, если заменяющий модуль FWSM поставляется с версией кода, отличной от версии кода активного межсетевого экрана, обновите код, выполнив следующие шаги.

Загрузите программное обеспечение FWSM (только для зарегистрированных пользователей) на TFTP-сервер.

Активация новой неиспользуемой сети VLAN коммутатора

Выполните следующие действия:

  1. Добавьте сеть VLAN на коммутаторе.

    В качестве сети VLAN нельзя использовать зарезервированную сеть VLAN.

    • Используйте команду vlan vlan_number для добавления VLAN при выполнении Cisco программное обеспечение IOS� на коммутаторе.

    • На коммутаторе под управлением ПО Catalyst Operating System для добавления сети VLAN используйте команду set vlan vlan номер_vlan.

  2. Назначьте сеть VLAN порту коммутатора, к которому предполагается подключить ПК.

    • Для назначения сети VLAN порту при использовании ПО Cisco IOS введите следующие команды:

      router(config)#interface type slot/port
      
      router(config-if)#switchport
      
      router(config-if)#switchport mode access
      
      router(config-if)#switchport access vlan vlan_id
      
    • Для назначения сети VLAN порту при использовании ПО Catalyst Operating System введите следующую команду:

      set vlan vlan_number mod/ports
      
      
  3. Старые команды межсетевого экрана скопируйте в программу «Блокнот» для создания резервной копии. Затем удалите эти команды и замените их, подставив номер сети VLAN, определенной на шагах 1 и 2.

    • Для программного обеспечения Cisco IOS:

      Router(config)#firewall vlan-group firewall_group vlan_range
      
      
      Router(config)#firewall module module_number vlan-group firewall_group
      
      
    • Для программного обеспечения Catalyst Operating System:

      Console> (enable) set vlan vlan_list firewall-vlan mod_num
      
      
  4. Включите интерфейс на модуле FWSM и укажите IP-адрес:

    nameif interface interface_name security_lvl
    
    
    ip address interface_name ip_address [mask]
    
    
    interface interface_name
    
    
    fwsm(config-interface) no shutdown
    
  5. Проверка связи между FWSM и ПК посредством эхозапроса. Для загрузки изображения с TFTP-сервера при подтверждении наличия связи используйте команду copy. По завершении загрузки перезагрузите модуль FWSM.

    FWSM#copy tftp://server[/path]/filename flash:
    

    Например, введите команду в следующем виде:

    FWSM#copy tftp://209.165.200.226/cisco/c6svc-fwm-k9.2-1-1.bin flash:
    

Определение сетей VLAN межсетевого экрана на коммутаторе

Восстановите команды, которые были удалены на шаге 1 процедуры обновления кода FWSM.

  • Для программного обеспечения Cisco IOS:

    Router(config)#firewall vlan-group firewall_group vlan_range
    
    
    Router(config)#firewall module module_number vlan-group firewall_group
    
    
  • Для программного обеспечения Catalyst Operating System:

    Console> (enable)set vlan vlan_list firewall-vlan mod_num
    
    

Базовая конфигурация FWSM для аварийного переключения

Чтобы подготовить модуль FWSM к восстановлению в составе пары, выполните ряд базовых настроек FWSM. После этого перенастройте группы или сети VLAN межсетевого экрана коммутатора, чтобы восстановить его в составе пары аварийного переключения.

  1. Удалите старый оператор nameif и IP-адрес, определенные на шаге 4 процедуры «Активация новой неиспользуемой сети VLAN коммутатора».

  2. Определите устройство как первичное или вторичное.

    FWSM(config)#fail lan unit {primary|secondary}
    
  3. Чтобы настроить аварийное переключение интерфейса VLAN для многоконтекстного режима, введите эту команду в системном пространстве выполнения:

    primary(config)#failover lan interface interface_name vlan vlan
    
  4. Для задания IP-адреса интерфейса аварийного переключения введите следующую команду:

    primary(config)#failover interface ip failover_interface ip_address mask standby 
    ip_address
    
  5. Включите аварийное переключение:

    FWSM(config)#failover
    

    Пример представлен в выходных данных:

    FWSM(config)#failover lan unit secondary
    FWSM(config)#failover interface ip fover 10.1.1.10 255.255.255.0 standby 10.1.1.11
    FWSM(config)#failover LAN Interface fover vlan 50
    FWSM(config)#failover
    

    Команда выведет следующие данные:

    Detected an Active mate.  Switching to Standby
           
    Beginning configuration replication from mate.
    This unit is in syncing state. 
    End configuration replication from mate.

Подтверждение настроек и конфигурации

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Выполните следующую командуshow:

fwsm(config)#show failover
Failover On
Failover unit Primary
Failover LAN Interface fover Vlan 150
Unit Poll frequency 15 seconds
Interface Poll frequency 15 seconds
Interface Policy 50%
Monitored Interfaces 249 of 250 maximum
Config sync: active
Last Failover at: 10:58:08 Apr 15 2004
        This host: Primary - Standby 
                Active time: 0(sec)
                admin Interface inside (10.6.8.91): Normal 
                admin Interface outside (70.1.1.2): Normal 
        Other host: Secondary - Active 
                Active time: 2232 (sec)
                admin Interface inside (10.6.8.100): Normal 
                admin Interface outside (70.1.1.3): Normal 

{\f3 Убедитесь, что для данного хоста (}{\f9 This host}{\f3 ) сообщается дежурный режим (}{\f9 standby}{\f3 ).} Также проверьте, проходят ли эхозапросы на устройства с ваших интерфейсов от FWSM. Чтобы перевести новое устройство в активный режим, используйте команду no active failover.

На активном модуле введите следующую команду, чтобы переключить его на резервный модуль:

primary(config)#no failover active

Для того, чтобы форсировать переход резервного модуля в активное состояние, введите на нем следующую команду:

secondary(config)#failover active

Дополнительные сведения о параметрах и устранении неполадок аварийного переключения см. в разделе Использование аварийного переключения.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения