Безопасность : Устройства защиты Cisco PIX серии 500

Как аварийное переключение работает на сетевого экранах Cisco Secure PIX

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (4 апреля 2008) | Английский (22 августа 2015) | Отзыв


Интерактивно этот документ предлагает анализ конкретного устройства Cisco.


Содержание


Введение

Использование идентичных устройств PIX (модель, память, сетевые интерфейсные платы (NIC), версии операционной системы) позволяет обеспечить высокую доступность системы без вмешательства оператора.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Этот документ не ограничен определенными версиями программного обеспечения. Все модели PIX за исключением версий 501 и 506E поддерживают выполнение переключения при отказе.

Примечание: Этот документ не покрывает версии программного обеспечения 7.0 и позже устройства защиты Cisco PIX серии 500. Дополнительная информация содержится в главе Настройка переключения при отказе документа Руководство по конфигурации интерфейса CLI устройств безопасности Cisco, версия 7.0.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Один PIX считается "активным" модулем, тогда как другой – "резервным" модулем. Как следует из названия, активные блоки выполняют обычные сетевые функции, а резервные блоки следят за ситуацией и принимают на себя функции активного блока при сбое последнего. Если команда show version не показывает, что функция переключения при отказе включена, а вы пытаетесь выполнить это действие, обратитесь в региональную группу по обслуживанию продуктов Cisco для покупки лицензионного обновления.

Для получения дополнительной информации об обновлении лицензии обратитесь к Обновлению Лицензионного ключа на Паре аварийного переключения.

Оба модуля имеют присутствие в сети. Активный модуль использует IP-адрес системы и MAC-адреса первичного модуля. Первичный модуль - это устройство, к которому подключен кабель переключения при отказе с пометкой "Первичный", либо устройство PIX, настроенное с помощью команды failover lan unit primary. Эта команда используется в ОС PIX, начиная с версии 6.2. Резервный модуль использует IP-адрес системы и MAC-адреса вторичного модуля. Если происходит переключение, модули меняются используемыми IP-адресом и MAC-адресами, чтобы занять место друг друга в сети. Это действие незаметно в сети. Отношения между IP и MAC-адресами остается прежним. Следовательно, прерывание или изменения таблиц ARP в сети не требуется. Другое оборудование части сети не нуждается в данных об избыточности или переключении. Обратите внимание, что IP-адрес системы и IP-адрес переключения при отказе должны находиться в одной подсети, поэтому маршрутизатор между двумя модулями может отсутствовать.

Кабель отказоустойчивости

Кабель переключения при отказе - единственное дополнительное аппаратное средство, необходимое для поддержки переключения при отказе PIX. Кроме того, в PIX версии 6.2 и выше переключение при отказе можно выполнять как с кабелем переключения при отказе, так и без него. Кабель отказоустойчивости представляет модифицированный последовательный кабель связи RS-232 с параметром скорости 9600 бит/с.

Примечание: В Релизе программного обеспечения PIX 5.2 (5.1.2.201), скорость изменена на 115.2 бодов K. Также в этой версии кабель переключения при отказе не удлиняется.

Стандартное взаимодействие при отказе происходит через кабель переключения при отказе или интерфейс локальной сети, настроенный с помощью команды failover lan interface interface_name в ОС PIX версии 6.2 и выше. Взаимодействие при отказе через кабель происходит на основании сообщений и должно отличаться надежностью. Каждое посланное сообщение подтверждается (ACKed). Если сообщение не подтверждается другим PIX через 3 секунды, сообщение ретранслируется. После 5 повторных передач без подтверждения (общее время 15 секунд) резервный PIX создает условия для переключения при отказе.

Типичное соединение в режиме обработки отказа через кабель обходного режима включает в себя:

  • Обмен MAC-адресами

  • Приветственное сообщение (состояние активности)

  • Состояние (Active/Standby)

  • Состояние сетевого канала

  • Репликация конфигурации

Репликация конфигурации расширения параллельного интерфейса (PIX)

У двух модулей должны быть абсолютно одинаковые конфигурации и они должны использовать одну и ту же версию программного обеспечения. Это совсем несложно, потому что репликация конфигурации происходит из активного блока в резервный блок через кабель переключения при отказе или из интерфейса локальной сети, настроенного с помощью команды failover lan interface interface_name, следующим образом:

  • После того, как резервный модуль завершит первоначальную загрузку, активный модуль дублирует всю свою конфигурацию на резервный модуль. Такое происходит в случае использования кабеля переключения при отказе, поскольку для того, чтобы определить устройства, как основное и дополнительное, на них обоих должна быть установлена начальная конфигурация. Эта функция была введена для преодоления проблем, связанных с длиной и скоростью последовательного кабеля.

  • По мере ввода команд в активном модуле они пересылаются на резервный модуль.

  • Команда write standby, выполняемая в активном модуле, пересылает всю конфигурацию в память резервного модуля.

Репликация конфигурации подразумевает копирование "из памяти в память". После завершения этих процедур в активном модуле необходимо выполнить команду write memory, чтобы переписать конфигурацию во флэш-память резервного модуля. Оба консольных сообщения “sync started" и "sync completed" отображаются во время работы. Для передачи больших конфигураций может потребовать некоторое время. Если в процессе репликации происходит переключение, новый активный PIX будет иметь лишь частичную конфигурацию. Затем модуль перезагружает себя, чтобы восстановить конфигурацию из флэш-памяти или повторно синхронизировать с помощью другого модуля.

Репликация конфигурации происходит только от активного элемента к элементу в режиме ожидания. Изменения, сделанные на резервном устройстве, не передаются на основное устройство.

Мониторинг восстановления при отказе

Интервал опроса во время переключения при отказе составляет 15 секунд (этот параметр можно настраивать в версиях ПО после 5.0), во время которого происходит мониторинг сетевой активности, взаимодействия при отказе и состояния электропитания. Сбой любого из этих параметров на активном модуле приведет к тому, что резервный модуль станет главным. Когда бы ни был определен сбой модуля, он закрывает свои сетевые интерфейсы.

Два устройства обмениваются сообщениями "hello" по кабелю переключения при отказе и всем интерфейсам каждые 15 секунд (за исключением тех, которые находятся в состоянии административного выключения). Если модуль не получает ответного сообщения "hello" от интерфейса в течение двух последовательных проверок опроса, PIX помещает этот интерфейс ЛВС в режим ожидания, чтобы определить, где возникла проблема. Если резервный PIX не получает сообщения "hello" от кабеля переключения при отказе в течение двух последовательных проверок опроса, резервный PIX производит переключение и объявляет, что второй PIX неисправен. Если активное устройство PIX не принимает сообщения hello, оно остается в активном состоянии и присваивает другому устройству PIX состояние ошибки.

Сетевой интерфейс переходит в режим проверки, если не получен пакет "hello". Тестирование сетевого интерфейса не мешает его стандартной работе. Это означает, что сетевой интерфейс даже в режиме тестирования пытается передавать обычный трафик. Процесс тестирования состоит из 4 отдельных проверок (проверка статуса NIC, проверка сетевой активности, проверка протокола разрешения адресов (ARP) и проверка PING), направленных на пробуждение сетевого трафика. Если интерфейс в режиме тестирования может принимать трафик, он считается работающим. Если интерфейс определяет другой сетевой трафик, предполагается, что возникшая проблема связана с другим модулем, который не может отправить пакет "hello". Таким образом, считается, что сбой произошел в другом модуле. Если определяется, что один тестируемый блок не может получить сетевой трафик, а другой может, неисправный блок отключает сам себя.

В дополнение к контролю всех интерфейсов сети функция переключения после отказа также контролирует состояние электропитания другого блока, а также статус самого кабеля для переключения при отказе. Кабель переключения при отказе дает возможность обнаружить, присоединен ли и включен другой модуль. Если отсоединить кабель от обоих устройств, коммутация блокируется. Если в активном блоке питание отключается, резервный блок принимает на себя его функции в течение 15 секунд. Устройство в состоянии отказа ждет 15 секунд, а затем пытается переключиться в режим ожидания. Если при переходе возникает ошибка, происходит повторный сбой устройства. Чтобы вручную переключить PIX из состояния ошибки в резервное состояние, используйте команду failover reset. Если при переходе возникает ошибка, происходит повторный сбой устройства. PIX в неисправном состоянии не может переключиться в активное состояние.

Если отказ вызван условием "link down" на интерфейсе, условие "link up" будет вызывать удаление неисправного состояния (например, если интерфейс отсоединен и позднее присоединен вновь).

Примечание: Подробная информация о возможностях функции переключения при отказе содержится в документе "Настройка переключения при отказе".

Восстановление после отказа

При каждом сбое или переключении в системном журнале создаются сообщения, в которых указано, что именно произошло. Восстановление после отказа с возвратом к первичному модулю не является принудительной операцией. Восстановление после отказа не является принудительным действием, поскольку нет необходимости коммутировать активную и резервную роли. Следовательно, после того, как сбой первичного модуля устранен и модуль возобновляет работу, это не означает, что он автоматически начинает выполнять активную роль. Для того чтобы активизировать модуль, используется команда failover active для резервного модуля, либо команда no failover active для активного модуля. Если используется команда Stateful Failover, информация о состоянии подключения передается от активного к резервному модулю. В противном случае сведения о состоянии не отслеживаются и приложения должны восстанавливать сеансы. Это означает, что все активные подключения будут сброшены после переключения. Поскольку новый активный модуль присваивает IP- и MAC-адреса предыдущего модуля, нет необходимости изменять ARP-записи где-либо в сети.

В EFT 5.0 и выше интервал опроса, равный 15 секундам, может быть изменен. Значение этого параметра может составлять от 3 до 15 секунд в зависимости от времени, необходимого для определения сбоя на различных картах интерфейса.

Проверка интерфейса

Если интерфейс не получает пакеты "hello" или интерфейс ожидает получения этого пакета более 2,5 минут после перехода другого интерфейса в нормальное состояние, интерфейс помещается в режим "тестирования" (если интерфейс не отключен и соединение присутствует). Если это происходит, другое устройство оповещается через кабель обходного режима о том, что интерфейс находится в режиме тестирования. Пока интерфейс находится в этом режиме поток трафика может проходить нормально при условии нормальной работы интерфейса. Тестирование начинается только при возникновении состояния ошибки и основано на принципе "если со мной все в порядке, то проблемы у вас". Тестирование включает в себя четыре последовательных проверки:

  1. Проверка состояния NIC

    Этот тест является проверкой работоспособности канала самой платы NIC. Если плата интерфейса не подключена к работающей сети, она считается неисправной.

  2. Проверка работоспособности сети

    Этот тест является "принятым сетевая действием" тест. Модуль подсчитывает все пакеты, полученные в течение 5 секунд. Если в течение этого периода приходят пакеты, интерфейс считается рабочим, и тестирование завершается. Если трафика не получено, устройство выполняет проверку ARP.

  3. Тест ARP

    В тесте ARP кэш ARP модуля считан из десяти последний раз полученных записей. Затем модуль одновременно отправляет ARP-запросы на эти устройства, пытаясь стимулировать сетевой трафик. После каждого запроса модуль подсчитывает весь полученный трафик в течение интервала, длительностью до 5 секунд. Если трафик получен, интерфейс считается рабочим. Если никакого трафика не получено, запрос ARP посылается на следующую машину. Если к концу списка трафик так и не был получен, модуль выполнят проверку доступности (Ping).

  4. Эхо - тест (ping test)

    Для выполнения Эхо - теста (ping test) модуль отсылает широковещательный запрос ping. Затем элемент считает все пакеты, полученные в течение 5 секунд. Если в течение этого периода приходят пакеты, интерфейс считается рабочим, и тестирование завершается. Если трафик не получен, тест опять начинает с проверки ARP.

В начале каждого теста оба модуля обнуляют счетчики полученного трафика для каждого интерфейса. После завершения каждого тестирования тестируемый модуль вначале проверяет, был ли получен какой-либо трафик. Если да, то модуль считает себя рабочим и отключает другой модуль. Если же этого не происходит, он запрашивает другой модуль о том, получал ли тот какой-либо трафик. Если же нет, тестируемый модуль будет признан сбойным. Если ни один модуль не получил никакого трафика, тестирование переходит на следующий этап. Если в какой-либо момент опрашивающее устройство не "слышит" результатов проверки от другого устройства, оно рассматривает другое устройство как неисправное, точно так же, как в том случае, если оно не слышит сообщение приветствия через поврежденный кабель. Если активный модуль определен как потерявший работоспособность, происходит переключение. Если резервный модуль определен как неисправный, он не будет использоваться как активный модуль. Результаты этих проверок отправляются через системный журнал как активным, так и резервным модулями.

Таблица решений аппаратных средств

На каждом PIX функция переключения при отказе ведет таблицу аппаратных решений (HDT) для обоих устройств PIX, чтобы определить, какой модуль PIX может использоваться в качестве активного устройства. Когда происходит изменение состояния интерфейса NIC, опрос отказов драйвера устройства, обновляется локальный HDT, и изменение отправляется в другой PIX. Хотя таблицы HDT сравниваются в каждом цикле опроса, резервный модель может взять на себя управление, запустив переключение, только при втором опросе.

Действия при отказах в коммутируемых средах

В коммутируемых средах необходимо уделить внимание следующим двум проблемам. Во-первых, коммутатор должен получить информацию о том, что определенный MAC-адрес перемещен с одного порта на другой. Каждый модуль (если он исправен) передает серию сообщений об отказе на каждый интерфейс, используя новые MAC и IP-адреса. Это позволяет коммутатору обновлять внутренние таблицы MAC. Cisco настоятельно рекомендует своим клиентам включать функцию portfast на всех портах коммутатора, подключенных к интерфейсам PIX. Также на этих портах должны быть отключены функции выделения каналов и транкинга. Таким образом, если интерфейс PIX отключается во время переключения при отказе, коммутатор не должен ожидать 30 секунд, пока порт переходит из состояния прослушивания в состояние изучения и далее в состояние переадресации.

Такая блокировка сетевого трафика приводит к следующей проблеме. Если пакеты "hello", отправляемые переключением при отказе, не переадресуются, то каждый модуль рассматривает эту ситуацию как сбой и начинает тестирование своих интерфейсов. Это ведет к сбою одного из устройств, поскольку результаты проверки предполагают, что если с одним устройством все в порядке, значит, сбой произошел на другом устройстве. Чтобы решить эту проблему, при каждом переключении модули переводятся в состояние ожидания. В этом состоянии сетевой трафик может свободно проходить через активные модули, но механизм переключения при отказе ждет получения двух сообщений "hello" перед началом повторного мониторинга интерфейсов. Это позволяет коммутатору перейти в состояние блокировки, не нарушая процесс переключения при отказе. После получения второго сообщения "hello" функция переключения при отказе возобновляет обычный мониторинг интерфейсов.

При использовании программного обеспечения PIX версии 5.2 или более поздней, если устройство переходит из активного состояния в режим ожидания или наоборот, на все интерфейсы сети передается самообращенное сообщение ARP для повторной рассылки новых IP- и MAC-адресов устройства.

Аварийное переключение с сохранением состояния

Поскольку после переключения значимые сведения PIX не сохраняются, все существующие подключения сбрасываются и программа запускается повторно. В ПО PIX версии 5.0 реализовано полноценное переключение при отказе, поэтому существующее подключение остается активным даже после переключения.

Для поддержки полноценного переключения при отказе требуется выделенный интерфейс локальной сети между двумя устройствами PIX. Logical Update – программный модуль, обеспечивающий передачу пакетов на приложения PIX, поддерживающих полноценное переключение при отказе. Активное состояние меняется на состояние ожидания с помощью интерфейса локальной сети. Обновление состояния, отсылаемое на резервный PIX, запускается приложением. Передача LU похожа на UDP. В ней нет повторной передачи и нет блокирующих приложений, задерживающих нормальную обработку пакетов. Пакеты обновления состояния передаются асинхронно в фоновом режиме. Тем не менее, протокол LU выполняется в реальном времени, поддерживает отправку оповещений об ошибках и сообщает об отсутствующих обновлениях состояния в целях проведения мониторинга.

Синхронизация начального состояния выполняется после репликации конфигурации. Это осуществляется посредством просматривания записей в таблице трансляций и подключений. После этого можно запустить обновление состояния.

Записи трансляции адресов PIX (xlate, static и dynamic) и соединения (conn) являются важными данными, которые передаются резервному устройству от активного устройства вместе с другими сведениями о состоянии. Поскольку переключение при отказе нельзя наметить заранее, обновление состояния соединения основано на пакетах. Это значит, что каждый пакет проходит через PIX и изменяет состояние соединения, что может привести к обновлению состояния.

Происходит передача таблиц состояния TCP. Однако HTTP (TCP-порт 80) не реплицируется по умолчанию. В ПО версий 6.0 и выше можно использовать команду failover replicate http, чтобы вызвать репликацию состояния TCP-порта 80. Большинство таблиц состояний UDP не передается за исключением динамически открываемых портов, соответствующих многоканальным протоколам, включая H.323 и VoIP. Следовательно, решения DNS не передаются, поскольку данный порт является одноканальным.

Некоторые приложения чувствительны ко времени ожидания, и иногда время ожидания заканчивается еще до завершения последовательности действий по обходу отказа. В этих случаях приложение должно повторно устанавливать сеансы.

Примечание: Нет никакого полного списка приложений, которые могут быть отброшены из-за времени, которое требуется для резерва для вступания во владение. Приблизительно можно принять, что резервный модуль берет на себя функции активного модуля во время полноценного переключения при отказе через 10 секунд. Без полноценного переключения при отказе на возобновление соединений может потребоваться около минуты.

Примечание: Единственное предупреждение о перехвате управления при отказе с синхронизацией состояния - то, что вызывает аварийное переключение. Если частота обмена сообщениями "hello" установлена максимум на 15 секунд, а внутренний интерфейс отказывается работать, резервный модуль не сообщает об отказе основного модуля до тех пор, пока не будут пропущены по крайней мере два сообщения "hello", что займет 30 секунд. Некоторые пользователи устанавливают значение сообщения "hello" минимум на 3 секунды, но это может привести к необязательному переключению PIX. Cisco рекомендует установить параметр обмена сообщениями "hello" максимум на 15 секунд.

Команды обработки отказа

  • [no] failover - данная команда включает и выключает обработку отказа.

  • [no] failover active – приводит к тому, что блок становится активным/резервным.

  • "failover ip address #.#.#.#" – устанавливает обходной IP-адрес.

  • failover reset - очищает неисправное состояние и модулей и перезапускает аварийное переключение.

  • [no] failover link interface – определяет, какой интерфейс необходимо использовать для передачи активного состояния от активного до резервного PIX в полноценном переключении при отказе.

  • секунды опроса во время аварийного переключения - Задают интервал опроса во время аварийного переключения (Версия ПО PIX 5.2 и позже).

  • модуль lan аварийного переключения, основная | вторичный - Используемый в основанном на LAN аварийном переключении для определения основной/вторичный (Версия PIX 6.2 и позже).

  • lan аварийного переключения включает - Задает основанное на LAN аварийное переключение (Версия PIX 6.2 и позже).

  • lan аварийного переключения взаимодействует lan_if_name - название интерфейса межсетевого экрана, выделенного основанному на LAN аварийному переключению (Версия PIX 6.2 и позже).

  • ключ lan аварийного переключения key_secret - Включает шифрование и аутентификация основанных на LAN сообщений об аварийном переключении между межсетевыми экранами PIX с помощью секретного ключа (Версия PIX 6.2 и позже).

  • мак адрес аварийного переключения mif_name act_mac stn_mac - Позволяет вам настроить виртуальный MAC - адрес для пары аварийного переключения межсетевого экрана PIX вместо того, чтобы связаться с другим узлом для получения MAC-адреса (Версия PIX 6.2 и позже).

Пример выходных данных по команде "show failover"

В этих примера подразумевается, что кабель отказоустойчивости установлен и работает. Они также предполагают, что блоки конфигурированы с системным IP адресом 192.168.89.1 и IP адресом восстановления после отказа 192.168.89.2.

Пример: Нормальное переключение при отказе

Данный пример является обычными выходными данными команды show failover. Обратите внимание, что отображаются IP-адреса всех устройств. Если не был введен IP-адрес для переключения при отказе, он отображается как 0.0.0.0, и мониторинг интерфейсов остается в состоянии ожидания. Рассмотрим раздел: : "Пример. Мониторинг переключения при отказе не начался", где приводятся объяснения состояния "ожидания".

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active 
			Active time: 6885 (sec)
			Interface 0 (192.168.89.1): Normal 
			Interface 1 (192.168.89.1): Normal 
		Other host: Secondary - Standby 
			Active time: 0 (sec)
			Interface 0 (192.168.89.2): Normal 
			Interface 1 (192.168.89.2): Normal 

Пример: Мониторинг отказоустойчивости не начался

Данные примеры демонстрируют то, что происходит, когда аварийное переключение не начало контролировать сетевые интерфейсы. Функция переключения при отказе не начинает мониторинг сетевых интерфейсов, пока не получит второй пакет сообщений hello от другого устройства на этом интерфейсе. Это займет около 30 секунд. Если модуль присоединен к сетевому коммутатору, работающему по протоколу STP, настроенное на коммутаторе время "задержки пересылки" (обычно оно составляет 15 сек) увеличивается в два раза плюс 30 сек задержки. Это происходит потому, что при загрузке PIX и событии сбоя, которое следует сразу после загрузки, системный коммутатор определяет временную замкнутую петлю. При обнаружении петли коммутатор перестает пересылать пакеты с этих интерфейсов в течение времени задержки пересылки. Затем он переходит в режим "прослушивания" для дополнительной "задержки пересылки", в течение которой коммутатор принимает замкнутые петли, но не пересылает трафик (и, следовательно, не пересылает пакеты "hello" переключения при отказе). Поток трафика должен возобновиться по прошествии двойного времени задержки пересылки (30 секунд). Каждый PIX остаётся в "ждущем" режиме до тех пор, пока получает 30-секундные "hello"-пакеты от другого блока. Во время передачи трафика межсетевой экран PIX не вызывает сбой в других модулях, исходя из отсутствия пакетов приветствия. Все остальные виды мониторинга переключения при отказе сохраняются (имеется в виду мониторинг питания, потери интерфейса на канале, а также сообщение hello кабеля переключения при отказе).

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active 
			Active time: 6930 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)
		Other host: Secondary - Standby 
			Active time: 15 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Normal (Waiting)

Пример: Отказ модуля

В данном примере аварийное переключение обнаруживает сбой. Обратите внимание на то, что причиной ошибки является интерфейс 1 на основном модуле. Из-за ошибки модули переводятся в режим ожидания waiting. Отказавшее устройство удаляется из сети (интерфейсы отключаются) и больше не отправляет пакеты hello в сеть. Активный модуль остается в состоянии ожидания, пока неисправный модуль не будет заменен и функция переключения при отказе не возобновится.

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Standby (Failed)
			Active time: 7140 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Failed (Waiting)
		Other host: Secondary - Active 
			Active time: 30 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)

Пример: Аварийное переключение с сохранением состояния

Данный пример показывает выходные данные команды show failover с включенным перехватом управления при отказе с синхронизацией состояния. Обратите внимание на то, что появляется сообщение "Частота опроса - 4 секунды". Сетевой интерфейс 4 находится в состоянии административного выключения. Сетевой интерфейс FailLink - это канал полноценного переключения при отказе.

Failover On
Cable status: Normal
Reconnect timeout 0:00:00
Poll frequency 4 seconds
        This host: Secondary - Active 
                Active time: 167464 (sec)
                Interface gb (7.7.7.1): Normal 
                Interface 4th (172.1.1.3): Link Down (Shutdown)
                Interface FailLink (8.8.8.1): Normal 
                Interface pix/intf2 (100.2.1.3): Normal 
                Interface outside (100.1.1.3): Normal 
                Interface inside (10.1.1.3): Normal 
        Other host: Primary - Standby 
                Active time: 0 (sec)
                Interface gb (7.7.7.2): Normal 
                Interface 4th (172.1.1.4): Link Down (Shutdown)
                Interface FailLink (8.8.8.2): Normal 
                Interface pix/intf2 (100.2.1.4): Normal 
                Interface outside (100.1.1.4): Normal 
                Interface inside (10.1.1.4): Normal 


Stateful Failover Logical Update Statistics
     Link : FailLink
     Stateful Obj    xmit       xerr       rcv        rerr 
     General        22501          0     34259           0 
     sys cmd        16007          0     33961          13 
     up time            4          0         2           0 
     xlate           5094          0         6           0 
     tcp conn         514          0       290           0 
     udp conn           0          0         0           0 
     ARP tbl          882          0         0           0 
     RIP Tbl            0          0         0           0 
     Logical Update Queue Information
              Cur   Max    Total
     Recv Q:    0     3    34259
     Xmit Q:    0     7    22504

Прочие сведения о переключениях при отказе см. в руководстве по настройке межсетевого экрана PIX.

Если с устройства Cisco получены выходные данные команды show failover, то в этом случае можно использовать инструмент Output Interpreter ( только для зарегистрированных клиентов), который отображает потенциальные проблемы и предлагает способы их решения.

Средство отказоустойчивости для LAN

Схема переключения при отказе на основе локальной сети

/image/gif/paws/5220/failover_01.gif

Рекомендуется подключать основные и вспомогательные брандмауэры PIX с помощью выделенного коммутатора. Не используйте перекрестный кабель. В этой диаграмме для соединения основных и вспомогательных устройств PIX используется коммутатор Cisco Catalyst 3500. Каналы переключения при отказе на основе локальной сети и полноценного переключения при отказе находятся в разных виртуальных сетях: VLAN 10 и VLAN 20, соответственно. Внутренний и внешний маршрутизаторы используются только в целях проверки соединения.

Минимальная начальная конфигурация основного PIX

Ниже приведен минимальный список необходимых команд для настройки на основном PIX:

Основные команды

pixfirewall(config)#hostname PIX                                

!--- Naming the PIX is optional.

PIX(config)#nameif ethernet2 fo security20                 

!--- Naming the interface is optional. It is recommended that you
!--- hardcode the speed/duplex.
 
PIX(config)#interface ethernet2 100full                            

!--- Bring up the interface.
 
PIX(config)#ip address fo 192.168.1.1 255.255.255.0  

!--- Assign an IP address.

Команды обработки отказа

PIX(config)#failover ip address fo 192.168.1.2

!--- IP address for the failover link.

PIX(config)#failover lan unit primary                

!--- This unit is primary
. 
PIX(config)#failover lan interface fo                 

!--- The 'fo' interface is used for LAN failover. 

PIX(config)#failover lan key cisco                     

!--- The Pre-shared key.

PIX(config)#failover lan enable                          

!--- Enables failover.

PIX(config)#failover                                 

!--- Start the failover process.

Следующее сообщение появляется в консоли:

LAN-based Failover: trying to contact peer 
LAN-based Failover: Send hello msg and start failover monitoring 

Минимальная начальная конфигурация на вспомогательном межсетевом экране PIX

Ниже приведен минимальный список необходимых команд для настройки на основном PIX:

Основные команды

pixfirewall(config)#hostname PIX 
PIX(config)#nameif ethernet2 fo security20

!--- It is recommended that you hardcode the speed/duplex. 
 
PIX(config)#interface ethernet2 100full
PIX(config)#ip address fo 192.168.1.1 255.255.255.0 

Команды обработки отказа

PIX(config)#failover ip address fo 192.168.1.2 
PIX(config)#failover lan unit secondary                    

!--- This unit is secondary. 

PIX(config)#failover lan interface fo 
PIX(config)#failover lan key cisco 
PIX(config)#failover lan enable 
PIX(config)#failover

!--- This unit is secondary because the "active" keyword is not used.

После выполнения этих команд на вспомогательном PIX на консоли появляются следующие сообщения:

LAN-based Failover: trying to contact peer?? 
LAN-based Failover: Send hello msg and start failover monitoring 

Затем, на основном PIX на консоли появляются следующие сообщения:

LAN-based Failover: Peer is UP
Sync Started
Sync Completed

Примечание: Если вы не видите эти сообщения, то существует что-то не так. Для того, чтобы быстро устранить эту проблему, включите функцию отладки ошибок ICMP на вспомогательном устройстве с помощью команды debug icmp trace и выполните проверку связи от основного устройств к IP-адресу переключения при отказе.

Примечание: На первичном PIX:

PIX(config)#ping 192.168.1.2 
        192.168.1.2 response received -- 0ms 
        192.168.1.2 response received -- 0ms 
        192.168.1.2 response received -- 0ms 
PIX(config)# 

On Secondary Unit 
PIX(config)#debug icmp trace    

!--- Configure this command before you initiate ping. 

ICMP trace on 
Warning: this may cause problems on busy networks 
PIX(config)# 1: ICMP echo request (len 32 id 9233 seq 0) 
   192.168.1.1 > 192.168.1.2 
2: ICMP echo reply (len 32 id 9233 seq 0) 192.168.1.2 > 192.168.1.1 
3: ICMP echo request (len 32 id 9233 seq 1) 192.168.1.1 > 192.168.1.2 
4: ICMP echo reply (len 32 id 9233 seq 1) 192.168.1.2 > 192.168.1.1 
5: ICMP echo request (len 32 id 9233 seq 2) 192.168.1.1 > 192.168.1.2 
6: ICMP echo reply (len 32 id 9233 seq 2) 192.168.1.2 > 192.168.1.1 

Примечание: После завершения выключите эти отладки с помощью команды no debug icmp trace.

Если проверка связи не удалась, проверьте конфигурации VLAN и порта на промежуточном коммутаторе. Также убедитесь, что используются надежные кабели категории Cat 5.

Выход основного PIX:

PIX(config)#show failover lan 

LAN-based Failover is Active 
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal 

PIX(config)#show failover 
Failover On 
Cable status: My side not connected   

!--- The failover serial cable is not used.
  
Reconnect timeout 0:00:00 
Poll frequency 15 seconds 
        This host: Primary - Active 
                Active time: 4335 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface intf3 (0.0.0.0): Link Down (Shutdown) 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 
        Other host: Secondary - Standby 
                Active time: 30 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface intf3 (0.0.0.0): Link Down (Shutdown) 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 

Stateful Failover Logical Update Statistics 
        Link : Unconfigured.

!--- Stateful failover is not configured yet. 

  

LAN-based Failover is Active 
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal

Выход вспомогательного PIX:

PIX(config)#show failover lan 

LAN-based Failover is Active 
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal 
  

PIX(config)#show failover 
Failover On 
Cable status: My side not connected           

!--- A failover serial cable is not used. 

Reconnect timeout 0:00:00 
Poll frequency 15 seconds 
        This host: Secondary - Standby 
                Active time: 30 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface intf3 (0.0.0.0): Link Down (Shutdown) 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 
        Other host: Primary - Active 
                Active time: 4485 (sec) 
                Interface intf5 (127.0.0.1): Link Down (Shutdown) 
                Interface intf4 (127.0.0.1): Link Down (Shutdown) 
                Interface intf3 (127.0.0.1): Link Down (Shutdown) 
                Interface outside (127.0.0.1): Link Down (Shutdown) 
                Interface inside (127.0.0.1): Link Down (Shutdown) 

Stateful Failover Logical Update Statistics 
        Link : Unconfigured. 

!--- Stateful failover is not configured yet. 

  

LAN-based Failover is Active 
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal 

Конфигурация - обход отказа с контролем текущего состояния

Основные команды для основного и вспомогательного устройства PIX завершены.

В этом примере интерфейс E3 был использован для передачи информации о состояниях между двумя модулями. Если PIX не сильно загружен, то интерфейс E2 (который используется для проверки работоспособности и репликации конфигурации) можно использовать и для этой цели. Для данной цели рекомендуется использовать отдельный интерфейс.

Настройте следующие команды на основном PIX:

ip address stateful-fo 172.16.1.1 255.255.255.0 
interface ethernet3 100full
failover ip address stateful-fo 172.16.1.2 
failover link stateful-fo 

Настройте следующие команды на вспомогательном PIX:

ip address stateful-fo 172.16.1.2 255.255.255.0
nameif ethernet3 stateful-fo security30
interface ethernet3 100full

Проверьте состояние.

PIX(config)#show failover 
Failover On 
Cable status: My side not connected 
Reconnect timeout 0:00:00 
Poll frequency 15 seconds 
        This host: Primary - Active 
                Active time: 3945 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface stateful-fo (172.16.1.1): Normal 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 
        Other host: Secondary - Standby 
                Active time: 30 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface stateful-fo (172.16.1.2): Normal 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 

Статистика модуля LU полноценного переключения при отказе

 
Link : stateful-fo

!--- Interface stateful-fo is used for stateful failover
. 
Stateful Obj    xmit       xerr       rcv        rerr 
General         40         0          40         0 
sys cmd         40         0          40         0 
up time         0          0          0          0 
xlate           0          0          0          0 
tcp conn        0          0          0          0 
udp conn        0          0          0          0 
ARP tbl         0          0          0          0 
RIP Tbl         0          0          0          0 

Logical Update Queue Information 
                        Cur     Max     Total 
Recv Q:         0       1       41 
Xmit Q:         0       1       41 

LAN-based Failover is Active 
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal 
  

PIX(config)#show failover lan detail 

LAN-based Failover is Active 
This PIX is Primary 
Command Interface is fo 
My Command Interface IP is 192.168.1.1 
Peer Command Interface IP is 192.168.1.2 
My interface status is Normal 
Peer interface status is Normal 
Peer interface down time is 0x0

!--- This is good. 


Total cmd msgs sent: 2579, rcvd: 2241, dropped: 2, retrans: 19, send_err: 0 
Total secure msgs sent: 2760, rcvd: 2383 
bad_signature: 0, bad_authen: 0, bad_hdr: 0, bad_osversion: 0, bad_length: 0 
Total failed retx lck cnt: 0 
Total/Cur/Max of 1245:0:1 msgs on retransQ, 1239 ack msgs 
Cur/Max of 0:21 msgs on txq 
Number of blk allocation failure: 0, cmd failure: 0, Flapping: 0 

Current cmd window: 1, Slow cmd Ifc cnt: 0 
Cmd Link down: 0, down and up: 0, Window Limit: 4301 
Number of fmsg allocation failure: 0 
Cmd Response Time History stat: 
< 100ms:         1237 
100 - 250ms:     0 
250 - 500ms:     0 
500 - 750ms:     0 
750 - 1000ms:    0 
1000 - 2000ms:   7 
2000 - 4000ms:   5 
> 4000ms:        9 
Cmd Response Retry History stat: 
Retry 0 = 1242, 1 = 5, 2 = 5, 3 = 3, 4 = 3 
Failover enable state is 0x1 
Failover state is 0x7d 
Failover peer state is 0x58 
Failover switching state is 0x0 
Failover config syncing is not in progress 
Failover poll cnt is 0 
Failover Fmsg cnt is 0 
Failover OS version is 6.2(0)243 
failover interface 0, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x807696d8 
    act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00d0.b71d.2b4d, stb_mac: 00d0.b780.574f 
failover interface 1, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769738 
    act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00d0.b71a.e6fb, stb_mac: 00e0.b600.8673 
failover interface 2, tst_mystat = 0x0, tst_peerstat = 0x2 
    zcnt = 0, hcnt = 0, my_rcnt = 2271, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769618 
    act_ip: 192.168.1.1, stn_ip:192.168.1.2 
    act_mac: 00e0.b600.a931, stb_mac: 00e0.b600.a931 
LAN-based Failover command link 
failover interface 3, tst_mystat = 0x0, tst_peerstat = 0x0 
    zcnt = 0, hcnt = 0, my_rcnt = 88, peer_rcnt = 54 
    myflag = 0x1, peer_flag=0x1, dchp = 0x80769558 
    act_ip: 172.16.1.1, stn_ip:172.16.1.2 
    act_mac: 00e0.b600.a930, stb_mac: 00e0.b600.8671 
failover interface 4, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769498 
act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00e0.b600.a92f, stb_mac: 00e0.b600.8670 
failover interface 5, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x807693d8 
    act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00e0.b600.a92e, stb_mac: 00d0.b780.564f 

Другие конфигурации Primary PIX

Это - другая конфигурация для основного межсетевого экрана PIX.

  1. Аппаратно заданная скорость/дуплекс для других интерфейсов. Можно использовать автоматизированный режим, но рекомендуется жестко закодировать скорость/дуплекс.

    interface ethernet0 100full 
    interface ethernet1 100full
    
  2. Присвойте IP-адреса другим интерфейсам.

    ip address outside 1.1.1.1 255.255.255.0 
    ip address inside 10.10.10.1 255.255.255.0
    
  3. Добавьте команду failover ip address для всех интерфейсов за исключением закрытых:

    failover ip address outside 1.1.1.2
    failover ip address inside 10.10.10.2
    

Другие конфигурации на вторичном PIX

Это - то, как настроить вторичный межсетевой экран (PIX).

  1. Аппаратно заданная скорость/дуплекс для других интерфейсов. Можно использовать автоматизированный режим, но рекомендуется жестко закодировать скорость/дуплекс.

    interface ethernet0 100full 
    interface ethernet1 100full
    
  2. Присвойте IP-адреса другим интерфейсам.

    ip address outside 1.1.1.2 255.255.255.0 
    ip address inside 10.10.10.1 255.255.255.0 
    

Ниже приведены выходные данные вспомогательного PIX после переключения при отказе.

PIX(config)#show failover 
Failover On
Cable status: My side not connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
        This host: Secondary - Active 
                Active time: 315 (sec)
                Interface intf5 (127.0.0.1): Link Down (Shutdown)
                Interface intf4 (127.0.0.1): Link Down (Shutdown)
                Interface stateful-fo (172.16.1.2): Normal (Waiting)
                Interface outside (1.1.1.2): Normal (Waiting)
                Interface inside (10.10.10.2): Normal (Waiting)
        Other host: Primary - Standby 
                Active time: 8025 (sec)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface stateful-fo (172.16.1.2): Normal (Waiting)
                Interface outside (1.1.1.2): Normal (Waiting)
                Interface inside (10.1.1.2): Link Down (Waiting)

Stateful Failover Logical Update Statistics
        Link : stateful-fo
        Stateful Obj    xmit       xerr       rcv        rerr      
        General         146        0          0          0         
        sys cmd         146        0          0          0         
        up time         0          0          0          0         
        xlate           0          0          0          0         
        tcp conn        0          0          0          0         
        udp conn        0          0          0          0         
        ARP tbl         0          0          0          0         
        RIP Tbl         0          0          0          0         

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       1       146

LAN-based Failover is Active
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal

Другие команды средства отказоустойчивости, которые можно настроить на PIX:

failover mac address <ifc_name> <act_mac> <stn_mac>
failover poll <seconds>
failover replication http
outside-router#write  terminal

interface FastEthernet3/1 
 ip address 1.1.1.200 255.255.255.0 
 duplex auto 
 speed auto 
  
  
inside-router#write  terminal
interface FastEthernet2/1 
 ip address 10.10.10.200 255.255.255.0 
 duplex auto 
 speed auto 
! 
ip route 0.0.0.0 0.0.0.0 10.10.10.1 

Продолжайте настройку основного модуля, и настройка для вспомогательного модуля будет автоматически скопирована.

Вопросы и ответы

  1. Как начальное установление соединения выполнено между двумя модулями?

    По умолчанию функции переключения при отказе присваивается значение "Выкл." (нет переключения при отказе). Однако если кабель переключения при отказе установлен в модуле во время загрузки, то функция переключения при отказе автоматически обнаруживает кабель, запускает процесс и выбирает основное и вспомогательное устройство. Это происходит во время загрузки даже если IP-адреса переключения при отказе не настроены должным образом.

    Примечание: Если кабель установлен к рабочему PIX, необходимо выполнить failover command start failover. Этого можно избежать в ПО PIX версии позднее 4.4.3. Это происходит потому, что репликация конфигурации может случайно отключить функцию переключения при отказе с помощью команды clear config. Если во время загрузки кабель переключения при отказе отсутствовал, устройство становится активным модулем. Однако модуль отображается как "Secondary"."

    Данное обсуждение подразумевает, что функция переключения при отказе включена и кабель подключен к обоим модулям. При первой загрузке модуля он запускает переключение при отказе и присваивает модулю статус резервного, если питание поступает от другого модуля. Модуль отсылает динамический статус (резервный) и запрашивает MAC-адрес от другого модуля. Если ни одно устройство не взяло на себя активное управление во время последовательного опроса при обработке отказов, то данное устройство становится активным.

    Примечание: Для Версий ПО PIX ранее, чем 5.2.1, время последовательного опроса при аварийном переключении было трудно кодировано к 15 секундам.

    Обычно другое устройство отвечает на запрос или отправляет сообщение HELLO о переключении при отказе для каждого опроса об отказе. После начала связи по кабелю переключения при отказе оба модуля проверяют активное/резервное состояние. Основной элемент переходит в активное состояние, если вспомогательный элемент находится в режиме ожидания. Это означает, что если первичный и вторичный модули выполняют загрузку во время первой проверки опроса отказов друг друга, первичный модуль становится активным. Если вспомогательный модуль уже находится в активном состоянии, основной модуль переходит в режим ожидания (предполагается, что вспомогательный модуль уже получил первичный MAC-адрес). Основной модуль не становится активным элементом управления автоматически. С включенным переключением при отказе не следует загружать резервный модуль до загрузки основного, поскольку используемый MAC-адрес берется с основного модуля. Если модуль загружается при отсутствии кабеля переключения при отказе или через этот кабель не происходит соответствующего взаимодействия при отказе, то оба модуля могут стать активными и сетевой трафик прервется.

    С включенной функцией переключения при отказе полная репликация конфигурации происходит от активного к резервному модулю после того, как резервный модуль впервые загружается. С этого момента введенные команды передаются от активного модуля к резервному. Для того, чтобы выполнить полную репликацию конфигурации, используйте команду write standby . Дублирование конфигурации может производиться только с активного на резервное устройство. Команды, введенные в резервном устройстве, не реплицируются в активное устройство. При введении команд на резервном модуле появляется предупреждающее сообщение, уведомляющее, что конфигурации больше не синхронизированы.

  2. Какие установки неисправны?

    Обнаружение ошибок основано на следующем:

    1. Состояние сетевой интерфейсной карты (NIC). Если состояние канала или плата NIC не работают, происходит сбой устройства. "Down" означает, что карта NIC не подключена к операционному порту. Если NIC был настроен как «отключен», этот тест не будет неуспешным.

    2. Связь в сети с переключением при отказе. Два устройства обмениваются сообщениями "hello" по всем сетевым интерфейсам. Если ни один пакет "hello" не был получен в течение 30 секунд, неисправный интерфейс переходит в режим тестирования, чтобы определить причину ошибки.

    3. Связь по кабелю переключения при отказе. Два устройства обмениваются сообщениями "hello" по кабелю переключения при отказе. Если резервный модуль не получает сигнала от активного модуля в течение 30 секунд, а кабель находится в исправном состоянии, резервное устройство принимает на себя функции активного.

      Если команды обработки отказов, переданные по кабелю для переключения при отказе, не подтверждаются в течение 15 секунд, резервный кабель становится активным.

    4. Ошибки кабеля. Кабель для переключения при отказе устроен таким образом, чтобы можно было опознать каждый элемент:

      • Сбой питания в другом устройстве.

      • Отключение кабеля этого модуля.

      • Кабель отключил другое устройство.

      Если резервное оборудование обнаруживает отключение активного оборудования (либо его перезагрузку/сброс), требуется активное управление. Если кабель для переключения при отказе не подключен, генерируется сообщение системного журнала, но переключение не происходит. Исключением является время загрузки, когда отключенный кабель приводит модуль в состояние активности. Если оба устройства включены без установленного кабеля для переключения при отказе, они оба становятся активными, что приводит к появлению дублированного IP-адреса с разными MAC-адресами и возникновению конфликта в сети. Чтобы функция обхода отказа работала правильно, необходимо установить резервный кабель.

  3. Сколько времени требуется на обнаружение ошибки при использовании значений интервала опроса по умолчанию?

    • Обнаружение ошибок сетевого соединения происходит в течение 30 секунд.

    • Обнаружение ошибок взаимодействия при отказе происходит в течение 30 секунд.

    • Сбой питания (и повреждение кабеля) обнаруживается в течение 15 секунд.

  4. Что происходит, когда запускается переключение при отказе?

    Любой модуль может инициировать переключение. При переключении каждое устройство меняет свое состояние, а также используемые IP-адреса и MAC-адреса. С точки зрения работы сети резервное устройство явно заменяет собой активный модуль. Поскольку настройка резервного модуля уже завершена, обновления не требуются. Модули не находятся одновременно в состоянии динамического подключения. Во время переключения при отказе все активные подключения будут сброшены. Клиент должен повторно установить подключения через активный модуль (за исключением случая, когда используется переключение при отказе). При каждом переключении новый активный модуль посылает сообщение в системный журнал по этой причине.

    Например: :

    Switching to ACTIVE (cause: no power detected from other side).

    Другие причины:

    • "normal master"

    • "no failover cable"

    • "никакое питание, обнаруженное с другой стороны"

    • "неспособный говорить с другой стороной"

    • "линейный интерфейс отказал в другой стороне"

    • "do not see traffic count change"

    • "другая сторона хочет, чтобы я вступил во владение"

    • "сбой, о котором сообщает другая сторона"

    • state check (проверка состояния)

    • "set by the ioctl cmd"

  5. Какое обслуживание необходимо?

    Для мониторинга состояний двух модулей используйте команду show fail . Системные журналы заполняются при возникновении ошибок и переключений.

  6. Как запретить переключение при отказе?

    Извлеките резервный кабель из модуля и настройте его с помощью команды no failover. Программное обеспечение, перехватывающее управление после ошибки, обнаруживает отсутствие кабеля и автоматически отключает передачу управления.

  7. Что такое пакет отказа?

    PIX-5XX-FO-BUN, состоящий из шасси, ПО и двух портов 10/100. Клиентам не нужно приобретать соответствующее ПО для PIX 515. Данный пакет включает в себя неограниченное ПО PIX. Данный модуль используется только для переключения при отказе. Чтобы сохранить информацию, убедитесь, что на отказоустойчивом устройстве запущена команда write memory. Если конфигурация не сохранена, а резервный блок перезагружен, он теряет конфигурацию, скопированную с основного блока.

Информация, которую необходимо собрать при обращении в службу технической поддержки

Если после выполнения перечисленных выше действий по устранению неполадок проблема остается, соберите указанные ниже сведения для брандмауэра PIX и обратитесь за помощью в Центр технической поддержки Cisco (TAC).
  • Описание проблемы и соответствующие сведения о топологии
  • Меры по устранению неполадок, предпринятые до оформления запроса
  • Выходные данные от команды show tech-support (и от Основных и от Вторичных межсетевых экранов)
  • Выходные данные команды show log после выполнения команды logging buffered debugging или снимки консоли, демонстрирующие проблему (при их наличии)
Приложите собранные сведения по вашей ситуации в простом незаархивированном текстовом файле (.txt). Можно приложить эти сведения, загрузив их с помощью средства Case Query Tool (только для зарегистрированных клиентов). Если средство Case Query недоступно, необходимые данные можно отправить как вложение в электронное сообщение по адресу attach@cisco.com, указав в теме сообщения номер обращения.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 5220