Коммутаторы : Коммутаторы Cisco Catalyst серии 6500

Устранение неисправностей восстановления после отказа FWSM

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ объясняет процедуры, которые можно использовать для решения проблем с Модулем Сервиса межсетевого экрана (FWSM) конфигурация аварийного переключения.

Этот документ также предоставляет чек-листа общих процедур для попытки, прежде чем вы начнете устранять неполадки соединения в режиме обхода отказа.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на FWSM 2.3 и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

Функция аварийного переключения позволяет резервному FWSM принимать функциональность отказавшего FWSM. Эти два включенные FWSM должны иметь того же майора (первое количество) и незначительный (второе количество) версия программного обеспечения, лицензия и рабочие режимы (маршрутизировавший или прозрачный, одиночный или составной контекст). В то время как резервный модуль перемещается в активное состояние, когда активный модуль отказывает, изменения состояния к резерву. При аварийном переключении предыдущая информация о соединении доступна для нового активного модуля.

Для дополнительных сведений обратитесь к разделу Аварийного переключения Настройки Использования Аварийного переключения.

Чек-лист аварийного переключения

Этот чек-лист помогает вам успешно настраивать аварийное переключение в FWSM:

Проверьте интерфейсы

Проверьте, что все интерфейсы на FWSM имеют настроенный резервный IP - адрес. Если вы поэтому уже не сделали, настройте активное и резервные IP - адреса для каждого интерфейса (режим маршрутизации), или для адреса управления (прозрачный режим). Резервный IP - адрес используется на FWSM, который в настоящее время является резервным модулем. Он должен находиться в той же подсети, что активный IP-адрес.

Это - пример конфигурации:

ip address <active-ip> <netmask> standby <standby-ip> 

Примечание: Не настраивайте IP-адрес для канала аварийного переключения или для государственной ссылки (если вы переходите к Перехвату управления при отказе с синхронизацией состояния использования).

Примечание: Не требуется указывать маску подсети для пассивного адреса. IP-адрес и MAC-адрес соединения не меняются при аварийном переключении. Активный адрес IP для канала аварийного переключения всегда остается присвоенным основному модулю, в то время как пассивный адрес IP всегда останется присвоенным вспомогательному модулю.

Лицензии

Оба активных и резервных устройства должны иметь ту же лицензию.

Режим контекста

Если первичный модуль находится в одиночном режиме контекста, вспомогательный модуль должен также быть в одиночном режиме контекста и в том же режиме межсетевого экрана как первичный модуль.

Если первичный модуль находится в многоконтекстном режиме, вспомогательный модуль должен также быть в многоконтекстном режиме. Вы не должны настраивать режим межсетевого экрана контекстов безопасности на вспомогательном модуле, потому что аварийное переключение и государственные ссылки находятся в системном контексте. Вспомогательный модуль получает конфигурацию контекста безопасности из первичного модуля.

Примечание: Командный режим не становится реплицированным во вспомогательный модуль.

Примечание: Групповая адресация не поддерживается в многоконтекстном режиме устройства безопасности. Обратитесь к разделу Неподдерживаемых характеристик для получения дополнительной информации.

Требования к программному обеспечению

Эти два модуля в конфигурации аварийного переключения должны иметь того же майора (первое количество) и незначительный (второе количество) версия программного обеспечения. Однако можно использовать другие версии программного обеспечения во время процесса обновления. Например, можно обновить один модуль от Версии 3.1 (1) до Версии 3.1 (2) и иметь аварийное переключение, остаются активными. Cisco рекомендует обновить оба модуля к той же версии для обеспечения долгосрочной совместимости.

Минимальная конфигурация FWSM для перехвата управления при отказе с синхронизацией состояния

Основной FWSM

failover lan unit primary
failover lan interface if_name vlan vlan
failover interface ip if_name ip_addr mask standby ip_addr
failover link if_name vlan vlan
failover interface ip if_name ip_addr mask standby ip_addr

Вторичный FWSM

failover lan unit secondary
failover lan interface if_name vlan vlan
failover interface ip if_name ip_addr mask standby ip_addr
failover link if_name vlan vlan
failover interface ip if_name ip_addr mask standby ip_addr

Для получения дополнительной информации о том, как настроить Активное и Резервное аварийное переключение, обратитесь к Настройке Активное/Резервное Аварийное переключение.

Минимальная конфигурация коммутатора

  • VLAN, передаваемые основному FWSM Catalyst, который содержит основного, должны совпасть с VLAN, передаваемыми вторичному FWSM Catalyst, который содержит вторичное устройство. (Выходные данные команды show run | i firewall должны быть идентичными.)

    Основное шасси

    cat6k-7(config)#do sh run | i fire               
    firewall multiple-vlan-interfaces
    firewall module 9 vlan-group 1
    firewall vlan-group 1  3,4,100-106

    Вторичное шасси

    cat6k-7(config)#do sh run | i fire               
    firewall multiple-vlan-interfaces
    firewall module 9 vlan-group 1
    firewall vlan-group 1  3,4,100-106
  • Все VLAN, которые передаются, должны присутствовать в базе данных VLAN и быть активными.

    Для выполнения этого выполните эти команды на коммутаторе в режиме конфигурации:

    vlan 10
    no shut
    

    Чтобы проверить, находятся ли VLAN в базе данных и активны, выходные данные команды show vlan и на шасси должны содержать VLAN, передаваемые FWSM, и показать как активные.

    Ниже показан пример выходных данных:

    Основное шасси

    cat6k-7(config)#do sh vlan
    
    VLAN Name                             Status    Ports
    ---- -------------------------------- --------- -----
    1    default                               active    
    3    VLAN0003                         active    Fa4/47
    4    VLAN0004                         active    Fa4/48

    Вторичное шасси

    cat6k-7(config)#do sh vlan
    
    VLAN Name                             Status    Ports
    ---- -------------------------------- --------- -----
    1    default                               active    
    3    VLAN0003                         active    Fa4/47
    4    VLAN0004                         active    Fa4/48
  • Удостоверьтесь, что эти два FWSM имеют подключение Layer2 в каждой VLAN (они должны быть в той же подсети).

    Прозрачные требования межсетевого экрана:

    Во избежание петель при использовании аварийного переключения в прозрачном режиме необходимо использовать программное обеспечение коммутатора, которое поддерживает передачу Блока данных протокола моста (BPDU). Кроме того, необходимо настроить FWSM для разрешения BPDU. Для разрешения BPDU через FWSM настройте Ethertype? ACL и применяет его к обоим интерфейсам.

    Примечание: В противоположность PIX и платформе ASA, аппаратные средства двух блейдов FWSM всегда являются тем же, нет никаких других моделей или конфигураций памяти.

Устранение неисправностей

Когда FWSM перезагрузится, сценарии, объясненные в этом разделе, заставят аварийное переключение быть отключенным.

FWSM может перезагрузиться по причинам, таким как катастрофический отказ, перезагрузить от шасси, повторная загрузка, выполненная от CLI FWSM, или это может просто быть новый модуль, который вставлен или переустановлен в другой слот или привел резервное копирование в действие от шасси.

Несоответствие версии

Эти два модуля в конфигурации аварийного переключения должны иметь того же майора (первое количество) и незначительный (второе количество) версия программного обеспечения.

Связанное сообщение системного журнала: 105040

Несовместимые лицензии

Вы могли бы получить этот системный журнал из-за несовместимой лицензии:

FWSM-1-105045: (Primary) Mate license (number contexts) is not compatible 
with my license (number contexts).
FWSM-1-105001: (Primary) Disabling failover.

Связанные сообщения системного журнала: 105045 и 105001

Другие Режимы (одиночный по сравнению с составным контекстом)

И основной и вторичный FWSM должен быть в том же режиме (одиночный или множественен). Например, если основной будет настроен как один режим и вторичное устройство как составной режим, и вторичное устройство повторно загружено, то оба модули выключат аварийное переключение.

Основной в одном режиме:

%FWSM-1-103001: (Primary) No response from other firewall (reason code = 1).
%FWSM-1-105044: (Primary) Mate operational mode (Multi) is not compatible 
with my mode (Single).
%FWSM-1-105001: (Primary) Disabling failover.

Вторичный в составном режиме (этот блейд повторно загружен):

%FWSM-5-111008: User 'Config' executed the 'no snmp-server location' command.
%FWSM-5-111008: User 'Config' executed the 'inspect tftp' command.
%FWSM-5-111008: User 'Config' executed the 'service-policy global_policy global' 
command.
%FWSM-5-111008: User 'Config' executed the 'config-url disk:/admin.cfg' command.
%FWSM-5-111008: User 'Config' executed the 'prompt hostname context' command.
%FWSM-4-411001: Line protocol on Interface LAN, changed state to up
%FWSM-4-411001: Line protocol on Interface LAN, changed state to up
%FWSM-1-105044: (Secondary) Mate operational mode (Single) is not compatible 
with my mode (Multi).
%FWSM-1-105001: (Secondary) Disabling failover.
%FWSM-6-199002: Startup completed.  Beginning operation.
%FWSM-6-605005: Login permitted from 127.0.0.51/15518 to eobc:127.0.0.91/telnet 
for user ""
%FWSM-5-502103: User priv level changed: Uname: enable_15 From: 1 To: 15
%FWSM-5-111008: User 'enable_15' executed the 'changeto context admin' command.

Основной в составном режиме:

%FWSM-1-105044: (Primary) Mate operational mode (Single) is not compatible 
with my mode (Multi).
%FWSM-1-105001: (Primary) Disabling failover.

Связанные сообщения системного журнала: 105044, 103001, 105001

Два FWSM становятся активными

Когда вы видите это сообщение об ошибках в журнале:

fw_create_pc_sw: fw_create_portchannel failed

Причина для этой ошибки состоит в том, потому что рекомендуемое число port-channel в коммутаторе превысило максимум (128, максимально в программном обеспечении Cisco IOS release12.2 (33) SXH4 на Cat6000/6500). Поэтому предел Interface Descriptor Block (IDB) исчерпывается.

Из-за этого вы могли бы закончить с этими двумя проблемами:

  • Когда у вас есть два коммутатора с модулями FWSM каждый для действия как активные и резервные, два модуля FWSM становятся активными в то же время.

  • Вы не можете создать дополнительный port-channel.

Как часть решения вопроса, удалите port-channel, которые не необходимы и повторно загружают FWSM.

Несогласованность VLAN

Проблема

FWSM получает это сообщение об ошибках: 'Обнаруженный Активный Разъем' 'Несоответствие Vlan configuration' 'аварийное переключение будет отключен'.

Или

Конфигурация модулей сервиса межсетевого экрана и соответствующей конфигурации коммутатора, кажется, завершена. Однако FWSM неспособны синхронизировать друг друга. Это сообщение получено на вторичном хосте:

State check detected an Active mate

        Unable to verify vlan configuration with mate.
        Check that mate's failover is enabled

        No Response from Mate

Или

Выходные данные команды show failover показывают, что статусом аварийного переключения на вторичном модуле является OFF, состояние аварийного переключения FWSM в Failover Off (pseudo-Standby).

FWSM-secondary(config)#show failover
Failover Off (pseudo-Standby)

Решение

Проблемой могло бы быть назначение VLAN несоответствия по межсетевому экрану (FWSM и супервизоры). Например, в группе VLAN Межсетевого экрана 1 оператор, то же количество VLAN, назначенных на каждом коммутаторе на межсетевой экран, может варьироваться. Это могло бы вызвать проблему. Если вы назначите то же количество VLAN в межсетевом экране, то аварийное переключение будет работать.

Во избежание получения ошибки несоответствия VLAN configuration выходные данные команды show vlan должны быть идентичными на обоих FWSM. Когда вы модифицируете или загружаете конфигурацию аварийного переключения на FWSM, это сообщение об ошибках только происходит. Например, когда FWSM загружается, он загружает startup-config из флэш-памяти и пытается инициализировать аварийное переключение. В это время это проверяет, чтобы удостовериться, что оба модуля получают корректные VLAN. Если VLAN не совпадают, сообщение об ошибках отображено, и аварийное переключение остается отключенным.

Примечание: Для аварийного переключения для работы FWSM требует одинаковых конфигураций и назначений порта. Возможно сделать аварийное переключение межшасси, но каждая VLAN, назначенная на межсетевой экран, должна быть в транке между двумя шасси.

FWSM не включает внешних физических интерфейсов. Вместо этого это использует интерфейсы виртуальной локальной сети (VLAN). Присвоение VLAN к FWSM подобно присвоению VLAN к порту коммутатора. FWSM включает внутренний интерфейс в Модуль матрицы коммутации (если есть) или общую шину. Для получения дополнительной информации обратитесь к Присвоению VLAN к Модулю Сервисов межсетевого экрана.

Знайте, что сопоставление VLAN может модифицироваться во время рабочей настройки FWSM и откажет во время следующей начальной загрузки.

Аварийное переключение Отключено

При отключении аварийного переключения с помощью команды no failover текущее состояние модуля поддержано (или активный или резервный), пока не повторно загружен модуль. Это используется только для отключения аварийного переключения. Для изменения состояния модуля от активного до резерва или наоборот, необходимо использовать команду [no] failover active.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения