Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA Активный/Резервный Пример Конфигурации аварийного переключения

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (7 апреля 2008) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Для конфигурации аварийного переключения необходимы два одинаковых устройства безопасности, соединенные друг с другом с помощью выделенного соединения аварийного переключения или соединения аварийного переключения с отслеживанием состояния. Состояние активных интерфейсов и узлов отслеживается до возникновения условий, отвечающих специфическим заданным параметрам аварийного переключения на другой ресурс. При возникновении условий, соответствующих заданным, происходит аварийное переключение на другой ресурс.

Устройство обеспечения безопасности поддерживает два типа конфигураций аварийного переключения: аварийное переключение на активный резервный ресурс и аварийное переключение на резервный ресурс в режиме ожидания. В каждой конфигурации аварийного переключения используется отдельный способ определения и выполнения аварийного переключения на другой ресурс. При конфигурации аварийного переключения на активный резервный ресурс оба модуля могут пропускать сетевой трафик. Это позволяет использовать распределение нагрузки в сети. Конфигурация аварийного переключения на активный резервный ресурс доступна только для модулей, работающих в многоконтекстном режиме. При конфигурации аварийного переключения на резервный ресурс в режиме ожидания сетевой трафик пропускается только одним узлом, в то время как другой находится в режиме ожидания. Конфигурация аварийного переключения на резервный ресурс в режиме ожидания доступна для узлов, работающих как в одноконтекстном, так и в многоконтекстном режиме. Обе конфигурации поддерживают аварийное переключение с отслеживанием состояния и без отслеживания состояния (регулярное).

В документе описывается настройка конфигурации аварийного перехода на резервный ресурс в ждущем режиме для устройствах безопасности PIX Security Appliance.

Примечание: Аварийное переключение VPN не поддерживается на модулях, которые работают в многоконтекстном режиме, поскольку VPN не поддерживается в составном контексте. Аварийное переключение VPN доступно только для Активных/Резервных Конфигураций аварийного переключения в одиночных конфигурациях контекста.

Cisco рекомендует использовать интерфейс управления для аварийного переключения, особенно если используется аварийное переключение с отслеживанием состояния, при котором устройство защиты постоянно отправляет данные о подключении с одного устройства защиты в другое. Интерфейс для аварийного переключения должен иметь как минимум такую же полосу пропускания, как интерфейсы для передачи обычного трафика, и хотя в ASA 5540 используются интерфейсы Gigabit Ethernet, в качестве интерфейса управления применяется только FastEthernet. Интерфейс управления разработан для передачи трафика управления и обозначается как management0/0. Однако можно использовать команду management-only для настройки любого интерфейса, чтобы быть интерфейсом толька для управления. Кроме того, для интерфейса Management 0/0 можно отключить режим«только для управления». В результате интерфейс будет передавать трафик как любой другой интерфейс. Для получения дополнительной информации о команде management-only, обратитесь к Справочнику по командам Cisco Security Appliance, Версии 8.0.

В этом руководстве приведен пример конфигурации, дающий краткие сведения о технологии PIX/ASA 7.x Active/Standby. См. подробное описание принципа работы этой технологии в документе Справочное руководство по командам ASA/PIX.

Предварительные условия

Требования

Требования к оборудованию

Два узла в конфигурации аварийного переключения на другой ресурс при сбое должны обладать одинаковой аппаратной конфигурацией. Они должны быть одной модели, иметь одинаковые номера и типы интерфейсов, а также одинаковые объемы ОЗУ.

Примечание: Не обязательно, чтобы у двух узлов был одинаковый объем флэш-памяти. Если в конфигурации аварийного переключения используются узлы с разными объемами флэш-памяти, убедитесь, что узел с меньшим объемом флэш-памяти обладает достаточным ее объемом для размещения файлов образов программ и файлов конфигурации. Если памяти все же недостаточно, синхронизацию с другим узлом большего объема флэш-памяти выполнить не удастся.

Требования к программному обеспечению

Оба модуля в конфигурации аварийного переключения должны находиться в рабочих режимах (маршрутизируемый или прозрачный, один или несколько контекстов). У них должны быть одинаковые основной (первый) и дополнительный (второй) номера версии ПО, однако в процессе обновления можно использовать различные версии ПО; например, можно обновить один узел с версии 7.0(1) до версии 7.0(2) и при этом оставаться в режиме активного узла аварийного переключения. Мы рекомендует обновить оба модуля до одинаковой версии, чтобы гарантировать долгосрочную совместимость.

Обратитесь к Осуществлению модернизации с нулевым периодом простоя для раздела Пар аварийного переключения Руководства по конфигурации Командной строки Cisco Security Appliance, Версия 8.0 для получения дополнительной информации об обновлении программного обеспечения на паре аварийного переключения.

Требования к лицензии

На платформе устройств безопасности PIX хотя бы один модуль должен иметь неограниченную (UR) лицензию.

Примечание: Для получения дополнительных функций и преимуществ может потребоваться обновление лицензий на парном устройстве в отказоустойчивой конфигурации. Для получения дополнительной информации об обновлении обратитесь к Обновлению Лицензионного ключа на Паре аварийного переключения

Примечание: Лицензированные функции (такие как узлы VPN SSL или контексты безопасности) на обоих устройствах безопасности, которые участвуют в аварийном переключении, должны быть идентичными.

Используемые компоненты

Сведения в этом документе основываются на Устройстве безопасности PIX с версией 7.x и выше.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Эта конфигурация может также использоваться с Устройством обеспечения безопасности ASA с версией 7.x и выше.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Аварийное переключение между активными и резервными модулями

Раздел посвящен описанию конфигурации аварийного перехода на резервный ресурс в режиме ожидания. В разделе рассматриваются следующие темы:

Обзор аварийного переключения между активными и резервными модулями

Аварийное переключение с активного на резервный ресурс позволяет передать функции отказавшего модуля устройству защиты, находящемуся в ждущем режиме. Оказавший активный модуль переходит в ждущий режим, а модуль, находившийся в ждущем режиме, переходит в активный режим. Устройство, которое становится активным, перехватывает IP-адреса (или IP-адрес управления для прозрачного сетевого экрана) и MAC-адреса отказавшего модуля и начинает передавать трафик. Устройство, которое переходит в резервное состояние, берет IP-адреса и MAC-адреса бывшего резервного модуля. Поскольку сетевые устройства не видят изменения пар MAC- и IP-адресов, записи ARP в сети не меняются и не устаревают.

Примечание: В режиме с несколькими контекстами устройство безопасности может выполнить полное аварийное переключение модуля (со всеми контекстами), но не для отдельных контекстов.

Состояние«основной-вспомогательный» и«активный-резервный»

Главное различие между модулями в паре аварийного переключения связано с тем, какой из них находится в активном состоянии, а какой в резервном. А точнее, какие IP-адреса используются и какой модуль активно передает трафик.

Некоторые различия связаны с тем, является ли модуль основным (как определено в конфигурации) или вспомогательным:

  • Основной модуль всегда становится активным, если оба модуля запускаются одновременно (и оба находятся в исправном состоянии).

  • MAC-адреса основного модуля всегда связаны с активными IP-адресами. Исключение из этого правила имеет место, когда вспомогательный модуль активен и не может получить основной MAC-адрес через соединение аварийного переключения. В этом случае используется вспомогательный адрес MAC.

Инициализация устройства и синхронизация конфигурации

Синхронизация конфигурации выполняется при загрузке обоих устройств в паре аварийного переключения. Репликация конфигурации происходит только от активного модуля к модулю в режиме ожидания. Когда резервный модуль выполняет процедуры начального запуска, он удаляет свою рабочую конфигурацию (за исключением команд, необходимых для взаимодействия с активным модулем), и активный модуль передает полную конфигурацию резервному модулю.

Активный модуль определяется по следующим критериям:

  • Если модуль загружается и обнаруживает исправный активный модуль, он становится резервным.

  • Если вспомогательный модуль загружается и не обнаруживает одноранговый модуль, он становится активным.

  • Если модули загружаются одновременно, основной модуль становится активным, а вспомогательный — резервным.

Примечание: Если вспомогательный модуль загружается и не обнаруживает основной модуль, он становится активным. Он использует свои MAC-адреса для активных IP-адресов. Когда основной модуль становится недоступным, вспомогательный модуль изменяет свои MAC-адреса на адреса основного модуля, что может привести к прерыванию потока сетевого трафика. Чтобы избежать этого, необходимо настроить пару аварийного переключения с виртуальными адресами MAC. Дополнительную информацию см. в разделе настоящего документа Настройка конфигурации аварийного перехода на резервный ресурс в ждущем режиме.

В момент начала репликации на консоли устройства безопасности активного модуля выводится сообщение "Beginning configuration replication: Sending to mate". По окончании репликации отображается сообщение "End Configuration Replication to mate". Во время репликации команды, введенные на активном модуле, не будут реплицироваться на резервный модуль должным образом и могут быть перезаписаны конфигурацией, реплицированной с активного модуля. Не вводите команды ни на одном из модулей пары аварийного переключения во время репликации. В зависимости от размера конфигурации репликация может занять от нескольких секунд до нескольких минут.

На вспомогательном модуле можно наблюдать сообщение о репликации (по ходу синхронизации) с основного модуля:

pix> .

        Detected an Active mate
Beginning configuration replication from mate.
End configuration replication from mate.

pix>

На резервном модуле конфигурация находится в оперативной памяти. Чтобы сохранить конфигурацию во флэш-память, введите следующие команды:

  • Для режима с одиночным контекстом введите команду copy running-config startup-config на активном модуле. Команда реплицируется на резервный модуль, который обрабатывает ее и заносит во флэш-память .

  • Для режима с несколькими контекстами введите команду copy running-config startup-config на активном модуле в системном поле исполнения и для каждого контекста на диске. Команда реплицируется на резервный модуль, который обрабатывает ее и заносит во флэш-память . Контексты с начальными конфигурациями на внешних серверах будут доступны на обоих модулях через сеть, и их не нужно сохранять на каждом модуле. Другой способ: можно скопировать контексты с диска активного модуля на внешний сервер, а затем скопировать их на диск резервного модуля. Контексты будут доступны после перезагрузке модуля.

Репликация команд

При репликации команд в качестве ведомого модуля выступает активный модуль, а в качестве ведущего модуля — резервный модуль. По мере ввода команд в активном модуле они пересылаются (через соединение аварийного переключения) на резервный модуль. Для репликации команд не нужно сохранять активную конфигурацию во флэш-память.

Примечание: Команды, введенные в резервном устройстве, не реплицируются в активное устройство. При вводе команды на резервном модуле устройство защиты выдаст сообщение: **** WARNING **** Configuration Replication is NOT performed from Standby unit to Active unit. Оно уведомляет, что конфигурации больше не синхронизированы. Это сообщение будет отображаться даже при вводе команд, не влияющих на конфигурацию.

Если вы введете команду write standby на активном модуле, резервный модуль удалит рабочую конфигурацию (за исключением команд аварийного переключения, используемых для взаимодействия с активным модулем), и активный модуль отправляет свою конфигурацию в резервный модуль.

Для режима с несколькими контекстами при вводе команды write standby в системном поле выполнения реплицируются все контексты. Если вы введете команду write standby в контексте, будет реплицирована конфигурация этого контекста.

Реплицированные команды сохранятся в рабочей конфигурации. Чтобы сохранить реплицированные команды во флэш-памяти, введите следующие команды:

  • Для режима с одиночным контекстом введите команду copy running-config startup-config на активном модуле. Команда реплицируется на резервный модуль, который обрабатывает ее и заносит во флэш-память .

  • Для режима с несколькими контекстами введите команду copy running-config startup-config на активном модуле в системном поле исполнения и для каждого контекста на диске. Команда реплицируется на резервный модуль, который обрабатывает ее и заносит во флэш-память . Контексты с начальными конфигурациями на внешних серверах будут доступны на обоих модулях через сеть, и их не нужно сохранять на каждом модуле. Другой способ: можно скопировать контексты с диска активного модуля на внешний сервер, а затем скопировать их на диск резервного модуля.

Триггеры аварийного переключения

Модуль может отказать в одном из следующих случаев:

  • В модуле произошел аппаратный сбой или отключено питание.

  • В модуле произошел сбой ПО.

  • Слишком много контролируемых интерфейсов не исправно.

  • Вводится либо команда no failover active на активном модуле, либо команда failover active на модуле, находящемся в режиме ожидания.

Действия аварийного переключения

В конфигурации аварийного перехода на резервный ресурс в ждущем режиме аварийное переключение выполняется на уровне модуля. Даже на системах, работающих в режиме с несколькими контекстами, можно выполнить аварийное переключение для отдельных или групповых контекстов.

В следующей таблице приведены действия аварийного переключения для каждого нештатного события. Для каждого случая отказа в таблице приводятся политики аварийных переключений (возникает или не возникает переход), действия для активных модулей, действия для резервных модулей, а также особые примечания к условиям и действиям аварийных переключений. В таблице показано поведение при аварийном переключении.

Отказ Policy Действие активного модуля Действие резервного модуля Примечания
Отказ активного модуля (оборудование или питание) Failover н/д Становится активным; активный отмечается как неисправный Сообщения приветствия (hello) не принимаются ни на одном контролируемом интерфейсе или канале аварийного переключения.
Бывший активный модуль восстанавливается Без аварийного переключения Переходит в ждущий режим Без действий Нет
Отказ резервного модуля (оборудование или питание) Без аварийного переключения Резервный модуль отмечается как отказавший н/д Если резервный модуль отмечается как отказавший, активный модуль не пытается выполнять аварийное переключение, даже если превышен порог неисправности интерфейса.
Сбой канала аварийного переключения в процессе операции Без аварийного переключения Интерфейс аварийного переключения отмечается как отказавший Интерфейс аварийного переключения отмечается как отказавший Соединение аварийного переключения необходимо восстановить как можно скорее, так как модуль не сможет переключиться на резервный модуль,если соединение аварийного переключения неисправно.
Сбой канала аварийного переключения при запуске Без аварийного переключения Интерфейс аварийного переключения отмечается как отказавший Становится активным Если соединение аварийного переключения отказывает при запуске, оба модуля становятся активными.
Сбой канала аварийного переключения с отслеживанием состояния Без аварийного переключения Без действий Без действий Информация о состоянии становится устаревшей, и сеансы прекращаются при аварийном переключении.
Неисправность интерфейса на активном модуле превышает пороговое значение Failover Активный модуль отмечается как отказавший Становится активным Нет
Неисправность интерфейса на резервном модуле превышает пороговое значение Без аварийного переключения Без действий Резервный модуль отмечается как отказавший Если резервный модуль отмечается как отказавший, активный модуль не пытается выполнять аварийное переключение, даже если превышен порог неисправности интерфейса.

Регулярное аварийное переключение и аварийное переключение с сохранением состояния

Устройство защиты поддерживает две конфигурации аварийного переключения: обычное и с сохранением состояния. В этом разделе рассматриваются следующие темы:

Регулярное аварийное переключение

При регулярном аварийном переключении все активные подключения сбрасываются. Клиенты должны повторно установить подключения через новый активный модуль.

Аварийное переключение с сохранением состояния

Когда используется аварийное переключение с сохранением состояния, информация о состоянии подключения постоянно передается от активного модуля к резервному. При аварийном переключении предыдущая информация о соединении доступна для нового активного модуля. Поддерживаемые приложения конечного пользователя не требуются для сохранения сеанса связи.

Сведения о состоянии соединения, которые передаются узлу в режиме ожидания, включают следующее:

  • Таблица преобразования NAT

  • Состояние TCP-подключений

  • Состояние UDP-подключений

  • Таблица ARP

  • Таблица моста Уровня 2 (когда это выполняется в режиме прозрачного межсетевого экрана),

  • Состояния подключения HTTP (если включена репликация HTTP)

  • Таблица ISAKMP и IPSec SA

  • База данных подключения GTP PDP

Информация, которая не передается в резервный модуль при использовании аварийного переключения с отслеживанием состояния:

  • Таблица подключения HTTP (если не включена репликация HTTP)

  • Таблица аутентификации пользователя (uauth)

  • Таблицы маршрутов

  • Информация о состоянии для сервисных модулей безопасности

Примечание: Когда аварийное переключение происходит во время активной сессии Cisco IP SoftPhone, звонок остается активным, состояние данной сессии реплицируется резервным модулем. Когда вызов завершен, клиент IP SoftPhone теряет соединение с Call Manager. Это происходит в результате того, что информация сессии для сообщения отбоя CTIQBE на резервном модуле отсутствует. Когда клиент IP SoftPhone не получает ответа от диспетчера звонков Call Manager в течение некоторого периода времени, тогда для него Call Manager приобретает значение "Недоступный", после чего выполняется отмена регистрации.

Основанная на кабеле Активная/Резервная Конфигурация аварийного переключения (Только Устройство безопасности PIX)

Схема сети

В этом документе использованы параметры данной сети:

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/77809-pixfailover-01.gif

Примечание: Основанное на кабеле аварийное переключение доступно только на устройстве защиты PIX 500 Series.

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Выполните эти действия для настройки Активного/Резервного Аварийного переключения с кабелем последовательного порта как канал аварийного переключения. Команды в этой задаче введены в первичный модуль в паре аварийного переключения. Первичный модуль является модулем, который имеет конец кабеля, маркированного "Основной", включил его. Для устройств в многоконтекстном режиме команды введены в системное поле выполнения, если не указано иное.

При использовании кабельного аварийного переключения не нужно загружать вспомогательный модуль в паре аварийного переключения. Пусть вспомогательный модуль останется выключенным, пока мы не предложим включить его.

Выполните эти шаги для настройки основанного на кабеле Активного/Резервного Аварийного переключения:

  1. Соедините устройства безопасности PIX с помощью кабеля аварийного переключения. Убедитесь, что конец кабеля с меткой "Primary" подключен к модулю, который будет использоваться в качестве основного, а конец "Secondary" — к другому модулю.

  2. Включите первичный модуль.

  3. Если вы не сделали этого ранее, настройте IP-адреса активного и резервного модулей для каждого интерфейса передачи данных (маршрутизируемый режим) или интерфейса управления (прозрачный режим). Резервный IP-адрес используется на устройстве защиты, которое в данный момент является резервным. Он должен находиться в той же подсети, что активный IP-адрес.

    Примечание: Не настраивайте IP-адрес для ссылки перехвата управления при отказе с синхронизацией состояния при использовании специализированного интерфейса перехвата управления при отказе с синхронизацией состояния. Команда failover interface ip будет использована на одном из следующих шагов для настройки выделенного интерфейса аварийного переключения с отслеживанием состояния соединения.

    hostname(config-if)#ip address <active_addr> <netmask> 
                              standby <standby_addr>
    
    

    В этом примере внешний интерфейс основного модуля PIX настроен следующим образом:

    hostname(config-if)#ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
    

    Здесь 172.16.1.1 — IP-адрес внешнего интерфейса основного модуля и 172.16.1.2 — адрес внешнего интерфейса вспомогательного (резервного) интерфейса.

    Примечание: В режиме с несколькими контекстами необходимо настроить адреса интерфейсов в каждом контексте. Используйте команду changeto context, чтобы переключаться между контекстами. Командная строка принимает значение вида hostname/context(config-if)#, где context — имя текущего контекста.

  4. Чтобы активировать аварийное переключение с отслеживанием состояния, настройте соединение аварийного переключения.

    1. Задайте интерфейс, который будет использоваться в качестве соединения аварийного переключения

       hostname(config)#failover link if_name phy_if
      
      

      В этом примере для обмена данными о состоянии аварийного переключения с отслеживанием состояния через соединение используется интерфейс Ethernet2.

      hostname(config)#failover link state Ethernet2
      

      Параметр nameif назначает логическое имя интерфейсу, указанному в параметре phy_if. Параметр phy_if может задаваться именем физического порта, например Ethernet1, или предварительно созданного подчиненного интерфейса, например, Ethernet0/2.3. Этот интерфейс нельзя использовать для других целей.

    2. Назначьте активный и резервный IP-адреса соединению аварийного переключения:

      hostname(config)#failover interface ip <if_name> <ip_addr> <mask> 
                             standby <ip_addr>
      
      

      В данном примере, 10.0.0.1 используется, как активное, и 10.0.0.2 используется в качестве резервного IP - адреса для ссылки перехвата управления при отказе с синхронизацией состояния.

      hostname(config)#failover interface ip state 10.0.0.1 255.0.0.0 
                             standby 10.0.0.2
      

      Примечание: Если ссылка перехвата управления при отказе с синхронизацией состояния использует интерфейс данных, пропустите этот шаг. Вы уже задали активный и резервный IP-адреса для интерфейса.

      Резервный IP-адрес должен быть в одной подсети с активным IP-адресом. Определять маску подсети резервного IP-адреса не нужно.

      MAC-адрес и IP-адрес соединения аварийного переключения с отслеживанием состояния меняются при аварийном переключении только в том случае, если они используют интерфейс передачи данных. Активный адрес IP всегда остается присвоенным главному узлу, в то время как пассивный адрес IP всегда останется присвоенным вторичному узлу.

    3. Включите интерфейс:

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      
  5. Включите аварийное переключение:

    hostname(config)#failover
    
  6. Включите вспомогательный модуль и включите аварийное переключение на модуле, если это уже не включено:

    hostname(config)#failover
    

    Активный модуль отправит конфигурацию в оперативной памяти в резервный модуль. Во время синхронизации конфигурации на консоли основного модуля появятся сообщения: Beginning configuration replication: при передаче к разъему" и "Репликация конечной конфигурации для соединения" появляется на основной консоли.

    Примечание: Выполните команду аварийного переключения на основном устройстве сначала, и затем выполните его на дополнительном устройстве. После использования команды failover на вспомогательном модуле этот модуль немедленно принимает конфигурацию от основного модуля и определяет себя как резервный. Основной ASA пропускает трафик в нормальном режиме и определяет себя как активное устройство. С этого момента, при возникновении отказа на активном модуле резервный модуль занимает место активного.

  7. Сохраните конфигурацию к флэш-памяти на первичном модуле. Поскольку команды ввели в первичный модуль, реплицированы во вспомогательный модуль, вспомогательный модуль также сохраняет свою конфигурацию к флэш-памяти.

    hostname(config)#copy running-config startup-config
    

    Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Конфигурации

Эти конфигурации используются в данном документе:

PIX
pix#show running-config 
 PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!

!--- Configure "no shutdown" in the stateful failover interface 
!--- of both Primary and secondary PIX.


interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list 101 extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
failover
failover link state Ethernet2
failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2
asdm image flash:/asdm-521.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list 101
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
!

!--- Output Suppressed

!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Конфигурации аварийного перехода на резервный ресурс в ждущем режиме с использованием локальной сети

Схема сети

В этом документе использованы параметры данной сети:

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/77809-pixfailover-02.gif

Раздел посвящен настройке конфигурации аварийного перехода на резервный ресурс в ждущем режиме с использованием Ethernet-соединения в качестве соединения аварийного переключения. При настройке аварийного переключения с использованием локальной сети необходимо выполнить начальную загрузку вспомогательного модуля, чтобы распознать канал переключения до того, как вторичный модуль сможет получить текущую конфигурацию от основного устройства.

Примечание: Вместо того, чтобы использовать перекрестный кабель Ethernet для прямого соединения модулей Cisco рекомендует использовать специализированный коммутатор между основным и вспомогательными модулями.

Настройка основного модуля

Выполните эти действия для настройки первичного модуля в основанной на LAN, Активной/Резервной Конфигурации аварийного переключения. Эти шаги обеспечивают минимальную конфигурацию, необходимую для аварийного переключения на основном модуле. Для режима с несколькими контекстами все шаги осуществляются в системном поле выполнения, если не указано иное.

Для настройки первичного модуля в Активной/Резервной Паре аварийного переключения выполните эти шаги:

  1. Если вы не сделали этого ранее, настройте IP-адреса активного и резервного модулей для каждого интерфейса передачи данных (маршрутизируемый режим) или интерфейса управления (прозрачный режим). Резервный IP-адрес используется на устройстве защиты, которое в данный момент является резервным. Он должен находиться в той же подсети, что активный IP-адрес.

    Примечание: Не настраивайте IP-адрес для ссылки перехвата управления при отказе с синхронизацией состояния при использовании специализированного интерфейса перехвата управления при отказе с синхронизацией состояния. Команда failover interface ip будет использована на одном из следующих шагов для настройки выделенного интерфейса аварийного переключения с отслеживанием состояния соединения.

    hostname(config-if)#ip address active_addr netmask 
                             standby standby_addr
    

    В этом примере внешний интерфейс основного модуля PIX настроен следующим образом:

    hostname(config-if)#ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
    

    Здесь 172.16.1.1 — IP-адрес внешнего интерфейса основного модуля и 172.16.1.2 — адрес внешнего интерфейса вспомогательного (резервного) интерфейса.

    Примечание: В режиме с несколькими контекстами необходимо настроить адреса интерфейсов в каждом контексте. Используйте команду changeto context, чтобы переключаться между контекстами. Командная строка принимает значение вида hostname/context(config-if)#, где context — имя текущего контекста.

  2. (Только устройства защиты с платформой PIX). Включите аварийное переключение через ЛВС.

    hostname(config)#failover lan enable
    
  3. Назначьте этот модуль основным.

    hostname(config)#failover lan unit primary
    
  4. Задайте интерфейс аварийного переключения.

    1. Задайте интерфейс, который будет использоваться в качестве интерфейса аварийного переключения.

      hostname(config)#failover lan interface if_name phy_if
      
      

      В этом документе в качестве интерфейса аварийного переключения используется "failover" (имя интерфейса для Ethernet3).

      hostname(config)#failover lan interface failover Ethernet3
      
      

      Параметр if_name назначает логическое имя интерфейсу, указанному в параметре phy_if . Параметр phy_if может задаваться именем физического порта, например Ethernet1, или предварительно созданного подчиненного интерфейса, например, Ethernet0/2.3.

    2. Назначьте активный и резервный IP-адреса соединению аварийного переключения

      hostname(config)#failover interface ip if_name ip_addr mask 
                             standby ip_addr
      
      

      В этой документации, для настройки канала аварийного переключения, 10.1.0.1 используется для активного, 10.1.0.2 для резервного модуля, и "аварийным переключением" является имя интерфейса Ethernet3.

      hostname(config)#failover interface ip failover 10.1.0.1 
                             255.255.255.0 standby 10.1.0.2
      

      Резервный IP-адрес должен быть в одной подсети с активным IP-адресом. Не требуется указывать маску подсети для пассивного адреса.

      IP-адрес и MAC-адрес соединения не меняются при аварийном переключении. Активный адрес IP для канала аварийного переключения всегда остается присвоенным основному модулю, в то время как пассивный адрес IP всегда останется присвоенным вспомогательному модулю.

    3. Включите интерфейс

      hostname(config)#interface phy_if
      
      
      hostname(config-if)#no shutdown
      

      В этом примере для аварийного переключения используется интерфейс Ethernet3:

      hostname(config)#interface ethernet3
      
      hostname(config-if)#no shutdown
      
  5. (Необязательно) Чтобы активировать аварийное переключение с отслеживанием состояния, настройте соединение аварийного переключения с отслеживанием состояния.

    1. Задайте интерфейс, который будет использоваться в качестве соединения аварийного переключения.

      hostname(config)#failover link if_name phy_if
      
      
      

      В этом примере«state» используется в качестве имени интерфейса Ethernet2 для обмена данными о состоянии канала аварийного переключения:

      hostname(config)#failover link state Ethernet2
      

      Примечание:  Если соединение аварийного переключения с отслеживанием состояния использует соединение аварийного переключения или интерфейс передачи данных, необходимо указать только параметр if_name.

      Параметр if_name назначает логическое имя интерфейсу, указанному в параметре phy_if . Параметр phy_if может задаваться именем физического порта, например Ethernet1, или предварительно созданного подчиненного интерфейса, например, Ethernet0/2.3. Этот интерфейс не должен использоваться для любой другой цели (кроме соединения аварийного переключения).

    2. Назначьте активный и резервный IP-адреса соединению аварийного переключения.

      Примечание: Если ссылка перехвата управления при отказе с синхронизацией состояния использует канал аварийного переключения или интерфейс данных, пропустите этот шаг. Вы уже задали активный и резервный IP-адреса для интерфейса.

      hostname(config)#failover interface ip if_name ip_addr 
                             mask standby ip_addr
      
      

      В этом примере 10.0.0.1 — активный и 10.0.0.2 — резервный IP-адрес для соединения аварийного переключения с отслеживанием состояния.

      hostname(config)#failover interface ip state 10.0.0.1 255.0.0.0 
                             standby 10.0.0.2
      

      Резервный IP-адрес должен быть в одной подсети с активным IP-адресом. Не требуется указывать маску подсети для пассивного адреса.

      MAC-адрес и IP-адрес соединения аварийного переключения с отслеживанием состояния меняются при аварийном переключении только в том случае, если они используют интерфейс передачи данных. Активный адрес IP всегда остается присвоенным главному узлу, в то время как пассивный адрес IP всегда останется присвоенным вторичному узлу.

    3. Включите интерфейс.

      Примечание: Если ссылка перехвата управления при отказе с синхронизацией состояния использует канал аварийного переключения или интерфейс данных, пропустите этот шаг. Включение интерфейса было уже выполнено.

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      

      Примечание: , Например, в этом сценарии, Ethernet2 используется для ссылки перехвата управления при отказе с синхронизацией состояния:

      hostname(config)#interface ethernet2
      
      hostname(config-if)#no shutdown
      
  6. Включите аварийное переключение.

    hostname(config)#failover
    

    Примечание: Выполните команду аварийного переключения на основном устройстве сначала, и затем выполните его на дополнительном устройстве. После использования команды failover на вспомогательном модуле этот модуль немедленно принимает конфигурацию от основного модуля и определяет себя как резервный. Основной ASA пропускает трафик в нормальном режиме и определяет себя как активное устройство. С этого момента, при возникновении отказа на активном модуле резервный модуль занимает место активного.

  7. Сохраните конфигурацию системы на флэш-память.

    hostname(config)#copy running-config startup-config
    

Конфигурация вспомогательного модуля

Для вспомогательного модуля необходимо настроить только интерфейс аварийного переключения. Для взаимодействия с основным модулем на вспомогательном модуле необходимо задать следующие команды. После того как основной модуль отправит свою конфигурацию вспомогательному, единственным постоянным различием между двумя конфигурациями будет команда failover lan unit, которая определяет основной и вспомогательный модули.

Для режима с несколькими контекстами все шаги осуществляются в системном поле выполнения, если не указано иное.

Для настройки вспомогательного модуля выполните эти шаги:

  1. (Только устройства защиты с платформой PIX). Включите аварийное переключение через ЛВС.

    hostname(config)#failover lan enable
    
  2. Задайте интерфейс аварийного переключения. Используйте те же параметр, что для основного модуля.

    1. Задайте интерфейс, который будет использоваться в качестве интерфейса аварийного переключения.

      hostname(config)#failover lan interface if_name phy_if
      
      

      В этой документации "аварийное переключение" (имя интерфейса для Ethernet3) используется для интерфейса аварийного переключения LAN.

      hostname(config)#failover lan interface failover Ethernet3
      
      

      Параметр if_name назначает логическое имя интерфейсу, указанному в параметре phy_if .

    2. Назначьте активный и резервный IP-адреса соединению аварийного переключения.

      hostname(config)#failover interface ip if_name ip_addr mask 
                             standby ip_addr
      
      

      В этой документации, для настройки канала аварийного переключения, 10.1.0.1 используется для активного, 10.1.0.2 для резервного модуля, и "аварийным переключением" является имя интерфейса Ethernet3.

      hostname(config)#failover interface ip failover 10.1.0.1 
                             255.255.255.0 standby 10.1.0.2
      

      Примечание: Введите эту команду точно, как вы ввели ее в первичный модуль при настройке интерфейса аварийного переключения на первичном модуле.

    3. Включите интерфейс.

      hostname(config)#interface phy_if
      
      
      hostname(config-if)#no shutdown
      
      

      В этом сценарии для аварийного переключения используется интерфейс Ethernet3.

      hostname(config)#interface ethernet3
      
      hostname(config-if)#no shutdown
      
  3. (Необязательно) Назначьте этот модуль вспомогательным.

    hostname(config)#failover lan unit secondary
    

    Примечание: Это действие необязательно, так как по умолчанию модули назначаются вторичными, если не настроены раньше.

  4. Включите аварийное переключение.

    hostname(config)#failover
    

    Примечание: После включения аварийного переключения активный модуль отправит конфигурацию в оперативной памяти резервному модулю. Во время синхронизации конфигурации на консоли основного модуля появятся сообщения "Beginning configuration replication: sending to mate" и "End Configuration Replication to mate".

  5. После завершения репликации текущей конфигурации сохраните ее на флэш-память.

    hostname(config)#copy running-config startup-config
    

Конфигурации

Эти конфигурации используются в данном документе:

Primary PIX
pix#show running-config 
 PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!

!--- Configure "no shutdown" in the stateful failover interface 
!--- of both Primary and secondary PIX.


interface Ethernet2 
nameif state

	 description STATE Failover Interface

interface ethernet3 
nameif failover

  description LAN Failover Interface

!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list 101 extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500

failover
failover lan unit primary
failover lan interface failover Ethernet3
failover lan enable
failover key ******
failover link state Ethernet2
failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2

asdm image flash:/asdm-521.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list 101
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Вспомогательный модуль PIX
pix#show running-config 

failover
failover lan unit secondary
failover lan interface failover Ethernet3
failover lan enable
failover key ******
failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2

Проверка.

Использование команды show failover

В этом разделе приведено описание выходных данных команды show failover. Для каждого модуля можно проверить состояние аварийного переключения с помощью команды show failover.

Primary PIX

pix#show failover
Failover On
Cable status: Normal
Failover unit Primary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(1), Mate 7.2(1)
Last Failover at: 06:07:44 UTC Dec 26 2006
        This host: Primary - Active
                Active time: 1905 (sec)
                  Interface outside (172.16.1.1): Normal
                  Interface inside (192.168.1.1): Normal
        Other host: Secondary - Standby Ready
                Active time: 0 (sec)
                  Interface outside (172.16.1.2): Normal
                  Interface inside (192.168.1.2): Normal

Stateful Failover Logical Update Statistics
        Link : state Ethernet2 (down)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         0          0          0          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          0          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       0       0

Вспомогательный модуль PIX

pix(config)#show failover
Failover On
Cable status: Normal
Failover unit Secondary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(1), Mate 7.2(1)
Last Failover at: 00:00:18 UTC Jan 1 1993
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                  Interface outside (172.16.1.2): Normal
                  Interface inside (192.168.1.2): Normal
        Other host: Primary - Active
                Active time: 154185 (sec)
                  Interface outside (172.16.1.1): Normal
                  Interface inside (192.168.1.1): Normal

Stateful Failover Logical Update Statistics
        Link : state Ethernet2 (down)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         0          0          0          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          0          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       0       0

Для проверки состояния используйте команду show failover state.

Primary PIX

pix#show failover state
====My State===
Primary | Active |
====Other State===
Secondary | Standby |
====Configuration State===
        Sync Done
====Communication State===
        Mac set
=========Failed Reason==============
My Fail Reason:
Other Fail Reason:
        Comm Failure

Вторичный узел

pix#show failover state
====My State===
Secondary | Standby |
====Other State===
Primary | Active |
====Configuration State===
        Sync Done - STANDBY
====Communication State===
        Mac set
=========Failed Reason==============
My Fail Reason:
Other Fail Reason:

Для проверки IP-адресов модуля аварийного переключения используйте команду show failover interface.

Основной модуль

pix#show failover interface
        interface state Ethernet2
                System IP Address: 10.0.0.1 255.0.0.0
                My IP Address    : 10.0.0.1
                Other IP Address : 10.0.0.2

Вторичный узел

pix#show failover interface
        interface state Ethernet2
                System IP Address: 10.0.0.1 255.0.0.0
                My IP Address    : 10.0.0.2
                Other IP Address : 10.0.0.1

Просмотр контролируемых интерфейсов

Чтобы просмотреть состояние контролируемых интерфейсов, сделайте следующее: В режимах одиночного контекста и глобальной настройки введите команду show monitor-interface. В многоконтекстном режиме введите команду show monitor-interface внутри контекста.

Примечание: Для включения контроля исправности на определенном интерфейсе используйте команду monitor-interface в режиме глобальной конфигурации:

monitor-interface <if_name>

Primary PIX

pix(config)#show monitor-interface
        This host: Primary - Active
                Interface outside (172.16.1.1): Normal
                Interface inside (192.168.1.1): Normal
        Other host: Secondary - Standby Ready
                Interface outside (172.16.1.2): Normal
                Interface inside (192.168.1.2): Normal

Вспомогательный модуль PIX

pix(config)#show monitor-interface
        This host: Secondary - Standby Ready
                Interface outside (172.16.1.2): Normal
                Interface inside (192.168.1.2): Normal
        Other host: Primary - Active
                Interface outside (172.16.1.1): Normal
                Interface inside (192.168.1.1): Normal

Примечание: Если вы не вводите IP-адрес аварийного переключения, команда show failover отображается 0.0.0.0 для IP-адреса, и интерфейсный мониторинг остается в состоянии ожидания. Для получения подробной информации о различных состояниях аварийного переключения см. раздел Показать аварийное переключение Справочника по командам устройств безопасности Cisco, версия 7.2.

Примечание: По умолчанию мониторинг физических интерфейсов включен, и мониторинг подинтерфейсов отключен.

Отображение команд аварийного переключения в текущей конфигурации

Чтобы просмотреть команды аварийного переключения в текущей конфигурации, введите команду:

hostname(config)#show running-config failover

Будут выведены все команды, связанные с аварийным переключением. Для модулей, работающих в режиме с несколькими контекстами, введите команду show running-config failover в системном поле исполнения. Введите команду show running-config all failover, чтобы отобразить команды аварийного переключения в рабочей конфигурации и включать команды, для которых вы не изменили значение по умолчанию.

Электронная почта аварийного переключения ASA предупреждает конфигурацию

Выполните эти шаги для настройки почтового предупреждения для аварийного переключения:

  1. имя хоста (config) # регистрирующий почтовый высокий приоритет

  2. имя хоста (config) # регистрирующий отадресного xxx-001@example.com

  3. имя хоста (config) # регистрация адресного получателем admin@example.com

  4. имя хоста (config) # сервер smtp X.X.X.X

Для подробного описания этих команд обратитесь к Передаче Сообщений системного журнала на Адрес электронной почты.

Проверка функциональности аварийного переключения

Для тестирования функциональности аварийного переключения выполните эти шаги:

  1. Протестируйте активный модуль или группу аварийного переключения и убедитесь, что они пропускают трафик, как это ожидается для FTP (например), послав файл с одного хоста на другой с различными интерфейсами.

  2. Вызовите аварийное переключение на резервный модуль с помощью следующей команды:

    • Для аварийного переключения с активного на резервный ресурс введите следующую команду на активном модуле:

      hostname(config)#no failover active
      
  3. Используйте FTP для передачи другого файла между теми же двумя узлами.

  4. Если тест не был успешен, введите команду show failover для проверки статуса аварийного переключения.

  5. После завершения проверки можно восстановить активный статус модуля или группы аварийного переключения с помощью следующей команды:

    Для аварийного переключения с активного на резервный ресурс введите следующую команду на активном модуле:

    hostname(config)#failover active
    

Принудительное аварийное переключение

Чтобы принудительно перевести узел из режима ожидания в активное состояние, введите одну из следующих команд:

Введите следующую команду на ждущем модуле:

hostname#failover active

Введите следующую команду на ждущем модуле:

hostname#no failover active

Отключение аварийного переключения

Чтобы отключить аварийное переключение, введите команду:

hostname(config)#no failover

Если отключить аварийное переключение на паре "активный/резервный", то активное и пассивное состояние каждого узла будет применено до перезапуска системы. Например, узел находится в режиме ожидания, и оба узла не начнут транслировать трафик. Процедура переключения резервного модуля в активное состояние (даже при отключенном аварийном переключении) описана в разделе Принудительное аварийное переключение.

Если отключить аварийное переключение с активного на активный ресурс, резервные группы останутся в активном состоянии в том модуле, в котором они в настоящее время активны, независимо от того, какой модуль в их конфигурации задан как предпочтительный. Команда no failover может быть введена в системном пространстве выполнения.

Восстановление неисправного модуля

Чтобы вернуть неисправному модулю статус исправного, введите следующую команду:

hostname(config)#failover reset

При восстановлении отказавшего модуля в исправное состояние автоматического перехода в активное состояние не происходит; восстановленные узлы или группы продолжают оставаться в режиме ожидания до тех пор, пока они не становятся активными вследствие аварийного переключения (при сбое или принудительно). Исключение составляет группа аварийного переключения, настроенная с помощью команды preempt. Если группа аварийного переключения была ранее активной, она снова становится активной, при условии, что она настроена с командой preempt, а модуль, в котором она отказала, является ее предпочтительным модулем.

Замените неисправный модуль новым модулем

Выполните эти шаги для замены неисправного модуля новым модулем:

  1. Выполните команду no failover на первичном модуле.

    Статус вспомогательного модуля показывает резервный модуль как не обнаруженный.

  2. Отключите первичный модуль и подключите заменяющий первичный модуль.

  3. Проверьте, что сменный модуль выполняет то же программное обеспечение и версию ASDM как вспомогательный модуль.

  4. Выполните эти команды на сменном модуле:

    ASA(config)#failover lan unit primary 
    ASA(config)#failover lan interface failover Ethernet3
    ASA(config)#failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
    ASA(config)#interface Ethernet3
    ASA(config-if)#no shut 
    ASA(config-if)#exit
    
  5. Включите заменяющий первичный модуль к сети и выполните эту команду:

    ASA(config)#failover
    

Устранение неполадок

При аварийном переключении оба устройства защиты отправляют системные сообщения. В этом разделе рассматриваются следующие темы:

Мониторинг восстановления при отказе

В этом примере показано, что происходит, если аварийное переключение не начинает мониторинг сетевых интерфейсов. Функция переключения при отказе не начинает мониторинг сетевых интерфейсов, пока не получит второй пакет сообщений hello от другого устройства на этом интерфейсе. Это займет около 30 секунд. Если модуль присоединен к сетевому коммутатору, работающему по протоколу STP, настроенное на коммутаторе время "задержки пересылки" (обычно оно составляет 15 сек) увеличивается в два раза плюс 30 сек задержки. Это вызвано тем, что в загрузке PIX и сразу после события аварийного переключения, сетевой коммутатор обнаруживает временную замкнутую петлю. При обнаружении петли коммутатор перестает пересылать пакеты с этих интерфейсов в течение времени задержки пересылки. Затем он переходит в режим прослушивания listen для дополнительной задержки пересылки forward delay, в течение которой коммутатор принимает замкнутые петли, но не пересылает трафик (и, следовательно, не пересылает пакеты hello переключения при отказе). Поток трафика должен возобновиться по прошествии двойного времени задержки пересылки (30 секунд). Каждый модуль PIX остается в режиме ожидания, пока не получит 30-секундную последовательность пакетов приветствия от другого модуля. В течение времени, когда PIX передает трафик, он не отказывает другой модуль на основе не слушания "привет" пакеты. Все остальные виды мониторинга переключения при отказе сохраняются (имеется в виду мониторинг питания, потери интерфейса на канале, а также сообщение hello кабеля переключения при отказе).

Для аварийного переключения Cisco строго рекомендует, чтобы клиенты включили portfast на всех портах коммутатора то подключение к интерфейсам PIX. Кроме того, на этих портах необходимо отключить режим объединения в канал и режим магистрального соединения. Если интерфейс PIX выключается в аварийном переключении, коммутатор не должен ждать 30 секунд в то время как переходы порта от состояния слушания обучения передаче.

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active 
			Active time: 6930 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)
		Other host: Secondary - Standby 
			Active time: 15 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Normal (Waiting)

Таким образом, проверьте эти шаги для сужения проблем аварийного переключения:

  • Проверьте сетевые кабели, подключенные к интерфейсу в ждущем/неисправном состоянии, и, если возможно, замените их.

  • Если между двумя модулями подключен коммутатор, проверьте, что сети, подключенные к интерфейсу в ждущем/неисправном состоянии, функционируют нормально.

  • Проверьте порт коммутатора, подключенный к интерфейсу в ждущем/неисправном состоянии, и, если возможно, попробуйте использовать другой порт FE коммутатора..

  • Проверьте, что на подключенных к интерфейсу портах коммутатора функция PortFast включена, а режимы объединения портов в канал и магистрального соединения отключены.

Отказ модуля

В этом примере в процессе аварийного переключения обнаружена ошибка. Обратите внимание на то, что причиной ошибки является интерфейс 1 на основном модуле. Из-за ошибки модули переводятся в режим ожидания waiting. Отказавший модуль удалил себя из сети (интерфейсы отключены) и больше не отправляет пакеты приветствия в сеть. Активный модуль остается в состоянии ожидания, пока отказавший модуль не будет заменен, а данные аварийного переключения не начнут передаваться снова.

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Standby (Failed)
			Active time: 7140 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Failed (Waiting)
		Other host: Secondary - Active 
			Active time: 30 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)

LU allocate connection failed (Сбой выделенного подключения LU)

Возможен сбой памяти, если получена следующая ошибка:

LU allocate connection failed (Сбой выделенного подключения LU)

Для решения этой проблемы требуется обновить ПО PIX/ASA. Обратитесь к идентификатору ошибки Cisco CSCte80027 (только зарегистрированные клиенты) для получения дополнительной информации.

Основные Потерянные Связи аварийных переключений с разъемом на интерфейсе interface_name

Если модуль пары аварийного переключения больше не может связываться с другим модулем пары, это сообщение об аварийном переключении отображено. Primary (Основной) может также быть заменено на Secondary (Вспомогательный) для вспомогательного устройства.

(Основные) Потерянные Связи аварийных переключений с разъемом на интерфейсе interface_name

Проверьте, что сеть, которая связана с заданным интерфейсом, функционирует правильно.

Сообщения системы аварийного переключения

Устройство защиты выдает ряд системных сообщений, связанных с аварийным переключением, которым присваивается приоритет 2, что указывает на критическое состояние. Сведения о том, как просмотреть эти сообщения, включить ведение журнала и отобразить описание системных сообщений, см. в документе Настройка ведения журналов модулей защиты Cisco и сообщения системного журнала.

Примечание: При переключении с использованием коммутаторов, аварийное переключение автоматически отключается, и выполняется монтирование интерфейсов с созданием сообщений с номерами 411001 и 411002. Это стандартное поведение.

Сообщения отладки

Для просмотра сообщений отладки введите команду debug fover. Для получения подробной информации см. Справочник по командам устройства защиты Cisco.

Примечание: Поскольку вывод отладки является назначенным высоким приоритетом в Процессе ЦПУ, это может решительно влиять на производительность системы. Поэтому используйте команды debug fover только для устранения определенных проблем или во время сеансов устранения проблем при участии специалистов технической поддержки Cisco.

SNMP

Чтобы получить прерывания системного журнала SNMP для аварийных переключений, настройте агент SNMP для отправки прерывания SNMP на станции управления SNMP, задайте узел системного журнала и скомпилируйте MIB системного журнала Cisco на станции управления SNMP. Дополнительные сведения о командах snmp-server и logging см. в Справочнике по командам устройств защиты Cisco.

Проблема NAT 0

Когда питание на Cisco Security Appliance циклически повторяется, команда NAT 0 исчезает из действующей конфигурации. Эта проблема происходит даже после того, как конфигурация сохранена. Другие команды сохранены, но не сохранена команда nat 0.

Эта проблема происходит из-за идентификатора ошибки Cisco CSCsk18083 (только зарегистрированные клиенты). Для решения этого вопроса не настраивайте недопустимый access-lists к туземному access-lists освобождения. Используйте ip permit или записи ace deny.

Последовательный опрос при обработке отказов

Чтобы указать время опроса узла аварийного переключения и время удержания, введите команду failover polltime в режиме глобальной настройки.

failover polltime unit msec [time] представляет временной интервал для проверки существования резервного модуля путем опроса приветственных сообщений.

Аналогично команда failover holdtime unit msec [time] представляет собой временной интервал, во время которого модуль должен получить сообщение приветствия (hello) через соединения аварийного переключения. По прошествии этого периода модуль объявляется отказавшим.

Чтобы указать время опроса интерфейса данных и время удержания в конфигурации аварийного переключения«Активный/резервный», введите команду failover polltime interface в режиме глобальной настройки. Чтобы восстановить настройку по умолчанию для времени опроса и времени удержания, используйте аргумент no данной команды.

failover polltime interface [msec] time [holdtime time]

Используйте команду failover polltime interface, чтобы изменить частоту отправки пакетов hello на интерфейсе данных. Эта команда доступна только для конфигураций аварийного переключения с активного ресурса на резервный в режиме ожидания. Для конфигураций аварийного переключения с активного ресурса на активный используйте команду polltime interface в конфигурации группы аварийного переключения вместо команды failover polltime interface.

Можно ввести значение holdtime, которое будет в пять раз меньше времени опроса интерфейса. Чем меньше время опроса, тем быстрее устройство защиты обнаружит отказ и выполнит аварийное переключение. Однако слишком быстрое обнаружение приводит к излишним переключениям, когда сеть временно перегружена. Проверка интерфейса начинается, когда пакет hello не принимается интерфейсом дольше половины времени удержания.

В конфигурацию можно включить обе команды failover polltime unit и failover polltime interface.

В приведенном ниже примере время для частоты опроса интерфейса установлено равным 500 миллисекунд, а время удержания составляет 5 секунд:

hostname(config)#failover polltime interface msec 500 holdtime 5

Для получения подробной информации см. раздел "Последовательный опрос при аварийном переключении (failover polltime)" Справочника по командам устройств защиты Cisco, версия 7.2.

Экспорт сертификата/секретного ключа в конфигурации аварийного переключения

Основное устройство автоматически реплицирует сертификат/секретный ключ на вспомогательный модуль. Выполните команду write memory в активном модуле для репликации конфигурации (который включает сертификат/секретный ключ) к резервному модулю. Все предыдущие сертификаты/ключи на резервном устройстве удаляются и заменяются конфигурацией активного модуля.

Примечание: Вы не должны вручную импортировать сертификаты, ключи и трастовые точки от активного устройства и затем экспортировать в резервное устройство.

warningПредупреждение: Сбой описания сообщения аварийного переключения.

Сообщение об ошибке:

Failover message decryption failure. Please make sure both units have the 
same failover shared key and crypto license or system is not out of memory

Эта проблема возникает из-за конфигурации ключа аварийного переключения. Чтобы устранить эту проблему, удалите ключ аварийного переключения и создайте новый общий ключ.

Аварийное переключение модулей ASA

Если в активных или резервных устройствах используются модули Advanced Inspection and Prevention Security Services Module (AIP-SSM) или Content Security and Control Security Services Module (CSC-SSM), тогда они работают независимо от ASA в терминах аварийного переключения. Модули должны быть настроены вручную в активных и резервных устройствах, аварийное переключение не реплицирует конфигурацию модуля.

Для обеспечения аварийного переключения оба устройства ASA с модулями AIP-SSM или CSC-SSM должны относиться к одному аппаратному типу. Например, если основное устройство имеет модуль ASA-SSM-10, вспомогательное устройство также должно содержать модуль ASA-SSM-10.

Для замены модуля SSM AIP на паре аварийного переключения ASA необходимо выполнить модуль hw-module 1 команда shutdown перед удалением модуля. Кроме того, ASA должен быть выключен, поскольку модули не являются hotswapable. Для получения дополнительной информации о том, как установить и удалить SSM AIP, ссылается на Инструкции Установки и Удаления.

Сообщение аварийного переключения block alloc failed

Сообщение об ошибке %PIX|ASA-3-105010: (Primary) Failover message block alloc failed

Пояснение: Память блока исчерпана. Это переходное сообщение, вспомогательное устройство защиты должно быть восстановлено. Primary (Основной) может также быть заменено на Secondary (Вспомогательный) для вспомогательного устройства.

Рекомендуемое действие: Используйте команду show blocks, чтобы контролировать текущую память блока.

Проблемы аварийного переключения модуля AIP

Если в вашей среде установлено два модуля ASA в конфигурации аварийного переключения и каждый из них имеет модуль AIP-SSM, необходимо вручную реплицировать конфигурацию AIP-SSM. Механизм аварийного переключения реплицирует только конфигурацию ASA. Модуль AIP-SSM не участвует в аварийном переключении.

Прежде всего, AIP-SSM работает независимо от ASA в терминах аварийного переключения. Все, что требуется от ASA для обеспечения аварийного переключения — чтобы модули AIP были одного аппаратного типа. Кроме этого, для любой другой части аварийного переключения конфигурация ASA между активным и резервным модулями должна быть синхронизирована.

Что касается настройки модулей AIP, то они являются фактически независимыми датчиками. Между этими двумя модулями нет аварийного переключения, они не получают никакой информации друг о друге. Они могут использовать независимые версии кодов. То есть, для ASA неважно, какие версии кодов используются на модулях AIP в том, что касается аварийного переключения.

ASDM инициирует подключение AIP через интерфейс управления IP, который настроен на AIP., Другими словами, это, как правило, соединяется с датчиком через HTTPS в зависимости от того, как вы устанавливаете датчик.

Можно выполнять аварийное переключение ASA независимо от модулей IPS (AIP). Вы будете все еще связаны с тем же самым, потому что вы соединяетесь с его IP - управлением. Чтобы подключиться к другому AIP, необходимо снова подключиться к его интерфейсу управления IP для настройки и доступа.

Для примеров конфигурации о том, как передать сетевой трафик, который проходит через многофункциональное устройство защиты Cisco ASA серии 5500 (ASA) к Усовершенствованному Модулю Сервисов безопасности Контроля и Предотвращения (SSM AIP) (IPS), обратитесь к ASA: Пример конфигурации для отправки трафика из ASA в AIP SSM.

Неспособный обновить пару аварийного переключения ASA от карты Ethernet до оптического интерфейса

Выполните эти шаги для обновления пары аварийного переключения ASA от Карты Ethernet до оптического интерфейса:

  1. Гарантируйте, что основное устройство активно, завершение работы вторичный/резервный ASA, и добавьте новую интерфейсную карту.

  2. Удалите все кабели и загрузите вторичный/резервный ASA для тестирования этого, новые аппаратные средства в рабочем состоянии.

  3. Завершение работы вторичный/резервный ASA снова и переподключение кабели.

  4. Завершение работы основной/активный ASA и начальная загрузка вторичный ASA.

    Примечание: Не позволяйте обоим ASA становиться активными в то же время.

  5. Подтвердите, что вторичный ASA произошел и проходящий трафик, и затем сделайте дополнительное устройство активным с командой failover active .

  6. Установите новый интерфейс на основном ASA и удалите кабели.

  7. Загрузите основной ASA и протестируйте новые аппаратные средства.

  8. Завершение работы основной ASA и переподключение кабели.

  9. Загрузите основной ASA и сделайте основное устройство активным с командой failover active .

Примечание: Проверьте статус аварийного переключения на обоих устройствах с командой show failover . Если статус аварийного переключения в порядке, можно настроить интерфейсы на основном активном устройстве, которое будет реплицировано во вторичный резерв.

ОШИБКА: В то время как локальный сервер CA настроен, аварийное переключение не может быть настроено.

Когда пользователь пытается настроить аварийное переключение на ASA, это сообщение об ошибках появляется:

ERROR: Failover cannot be configured while the local CA server is configured. Please remove the local CA server configuration before configuring failover.

Эта ошибка происходит, потому что ASA не поддерживает настраивающий локальный сервер CA и аварийное переключение в то же время.

%ASA-1-104001: (Вторичная) Коммутация к АКТИВНОМУ - Сервисная плата в другом модуле отказала

Я получаю это сообщение об ошибках на своей паре ASA аварийного переключения: %ASA-1-104001: (Secondary) Switching to ACTIVE - Service card in other unit has failed

Эта проблема обычно происходит из-за модуля CSC IPS и не из-за самого ASA. Если вы получаете это сообщение в журнале ошибок, проверяете конфигурацию модулей или пытаетесь переустановить их. Обратитесь к идентификатору ошибки Cisco CSCtf00039 (только зарегистрированные клиенты) для получения дополнительной информации.

Типичные ошибки

  • Ошибка: The name on the security certificate is invalid or does not match the name of the site

    Когда пользователь пытается обратиться к ASDM на вторичном ASA с программным обеспечением версии 8.x и версией 6.x ASDM для конфигурации аварийного переключения, эта ошибка получена:

    Error: The name on the security certificate is invalid or does not match the name of the site

    В сертификате Issuer (Запрашивающая сторона) и Subject Name (Имя субъекта) являются IP-адресом активного модуля, а не IP-адресом резервного модуля.

    В ASA версии 8.x внутренний (ASDM) сертификат реплицируется с активного модуля на резервный модуль, что приводит к появлению сообщения об ошибке. Однако, если тот же межсетевой экран будет работать на коде версии 7.x с 5.x ASDM, и вы пытаетесь обратиться к ASDM, то вы получите обычное предупреждение системы безопасности:

    Сертификат безопасности имеет допустимое имя, совпадающее с именем страницы, которую вы пытаетесь просмотреть

    При проверке сертификата в качестве данных запрашивающей стороны и имени субъекта используется IP-адрес резервного модуля.

  • Ошибка: %ASA-ha-3-210007: LU выделяет подведенный xlate

    Эта ошибка получена: %ASA-ha-3-210007: LU allocate xlate failed

    Эта проблема наблюдалась и входилась идентификатор ошибки Cisco CSCte08816 (только зарегистрированные клиенты). Для решения этого вопроса необходимо обновить к одной из версий программного обеспечения, в которых была исправлена эта ошибка.

  • Резервный ASA перезагружается во время репликации xlate от Основного

    В настоящий момент эта проблема замечена с версиями 8.4.2 и 8.4.1.11. Попытайтесь обновить к 8.4.2.4 для устранения проблемы. Обратитесь к идентификатору ошибки Cisco CSCtr33228 для получения дополнительной информации.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 77809