Безопасность : Устройства защиты Cisco PIX серии 500

Выполнение переключения при отказе в брандмауэре Cisco Secure PIX

4 апреля 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (30 сентября 2008) | Отзыв

Интерактивная тема: В данном документе содержится анализ определенного устройства Cisco.


Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Общие сведения
Кабель переключения при отказе
Репликация конфигурации расширения параллельного интерфейса (PIX)
Мониторинг переключения при отказе
Восстановление после отказа
Проверка интерфейса
Таблица аппаратных решений
Действия при отказах в коммутируемых средах
Полноценное переключение при отказе
Команды переключения при отказе
Пример выходных данных команды "show failover"
      Пример. Стандартное переключение при отказе
      Пример. "Мониторинг переключения при отказе не начался"
      Пример. Сбой блока
      Пример. Полноценное переключение при отказе
Переключение при отказе на основе локальной сети
      Схема переключения при отказе на основе локальной сети
      Минимальная начальная конфигурация основного PIX
      Минимальная начальная конфигурация на вспомогательном брандмауэре PIX
      Другая конфигурация - полноценное переключение при отказе
Вопросы и ответы
Информация, которую необходимо собрать при обращении в службу технической поддержки Cisco
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

Использование идентичных устройств PIX (модель, память, сетевые интерфейсные платы (NIC), версии операционной системы) позволяет обеспечить высокую доступность системы без вмешательства оператора.

Предварительные условия

Требования

Для данного документа нет особых требований.

Используемые компоненты

Данный документ не ограничен отдельными версиями программного обеспечения. Все модели PIX за исключением версий 501 и 506E поддерживают выполнение переключения при отказе.

Примечание: В этом документе не рассматривается ПО версий 7.0 и позднее, установленное на устройствах безопасности Cisco PIX серии 500. Дополнительная информация содержится в главе Настройка переключения при отказе документа Руководство по конфигурации интерфейса CLI устройств безопасности Cisco, версия 7.0.

Данные для документа были получены в специально созданных лабораторных условиях. При написании данного документа использовались только данные, полученный от устройств с конфигурацией по умолчанию. В рабочей сети необходимо понимать последствия выполнения всех команд.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в разделе Условные обозначения для практических рекомендаций компании Cisco.

Общие сведения

Один PIX считается "активным" модулем, а другой – "резервным". Как следует из названия, активные блоки выполняют обычные сетевые функции, а резервные блоки следят за ситуацией и принимают на себя функции активного блока при сбое последнего. Если команда show version не показывает, что функция переключения при отказе включена, а вы пытаетесь выполнить это действие, обратитесь в региональную группу по обслуживанию продуктов Cisco для покупки лицензионного обновления.

Оба модуля присутствуют в сети. Активный модуль использует IP-адрес системы и MAC-адреса первичного модуля. Первичный модуль - это устройство, к которому подключен кабель переключения при отказе с пометкой "Первичный", либо устройство PIX, настроенное с помощью команды failover lan unit primary. Эта команда используется в ОС PIX, начиная с версии 6.2. Резервный модуль использует IP-адрес системы и MAC-адреса вторичного модуля. Если происходит переключение, модули меняются используемыми IP-адресом и MAC-адресами, чтобы занять место друг друга в сети. Это действие незаметно в сети. Отношения между IP и MAC-адресами остается прежним. Следовательно, прерывание или изменения таблиц ARP в сети не требуется. Остальное сетевое оборудование также остается в неведении об избыточности или произошедшем переключении. Обратите внимание, что IP-адрес системы и IP-адрес переключения при отказе должны находиться в одной подсети, поэтому маршрутизатор между двумя модулями может отсутствовать.

Кабель переключения при отказе

Кабель переключения при отказе - единственное дополнительное аппаратное средство, необходимое для поддержки переключения при отказе PIX. Кроме того, в PIX версии 6.2 и выше переключение при отказе можно выполнять как с кабелем, так и без него. Кабель переключения при отказе представляет собой модифицированный последовательный кабель связи RS-232 со скоростью 9600 бит/с.

Примечание: В ПО PIX версии 5.2 (5.1.2.201) значение скорости равно 115,2 K Кбит/с. Также в этой версии кабель переключения при отказе не удлиняется.

Стандартное взаимодействие при отказе происходит через кабель переключения при отказе или интерфейс локальной сети, настроенный с помощью команды failover lan interface interface_name в ОС PIX версии 6.2 и выше. Взаимодействие при отказе через кабель происходит на основании сообщений и должно отличаться надежностью. Каждое посланное сообщение подтверждается (ACKed). Если сообщение не подтверждается другим PIX через 3 секунды, сообщение ретранслируется. После 5 повторных передач без подтверждения (общее время 15 секунд) резервный PIX создает условия для переключения при отказе.

Типичное взаимодействие при отказе, осуществляемое через кабель, включает в себя:

  • обмен MAC-адресами

  • Приветственное сообщение (состояние активности)

  • Состояние (Active/Standby)

  • Состояние сетевого канала

  • Репликация конфигурации

Репликация конфигурации расширения параллельного интерфейса (PIX)

У двух модулей должны быть абсолютно одинаковые конфигурации и они должны использовать одну и ту же версию программного обеспечения. Это совсем несложно, потому что репликация конфигурации происходит из активного блока в резервный блок через кабель переключения при отказе или из интерфейса локальной сети, настроенного с помощью команды failover lan interface interface_name, следующим образом:

  • После того, как резервный модуль завершает первоначальную загрузку, активный модуль дублирует всю конфигурацию на резервный модуль. Такое происходит в случае использования кабеля переключения при отказе, поскольку для того, чтобы определить устройства, как основное и дополнительное, на них обоих должна быть установлена начальная конфигурация. Эта функция была введена для устранения проблем, связанных с длиной и скоростью последовательного кабеля.

  • После выполнения команд в активном модуле они пересылаются на резервный модуль.

  • Команда write standby, выполняемая в активном модуле, пересылает всю конфигурацию в память резервного модуля.

Репликация конфигурации подразумевает копирование "из памяти в память". После завершения этих процедур в активном модуле необходимо выполнить команду write memory, чтобы переписать конфигурацию во флэш-память резервного модуля. Оба сообщения консоли "sync started" и "sync completed" отображаются во время работы. Для передачи больших конфигураций может потребовать некоторое время. Если в процессе репликации происходит переключение, новый активный PIX будет иметь лишь частичную конфигурацию. Затем модуль перезагружает себя, чтобы восстановить конфигурацию из флэш-памяти или повторно синхронизировать с помощью другого модуля.

Репликация конфигурации происходит только от активного к резервному модулю. Изменения, сделанные на резервном устройстве, не передаются на активное устройство.

Мониторинг переключения при отказе

Интервал опроса во время переключения при отказе составляет 15 секунд (этот параметр можно настраивать в версиях ПО после 5.0), во время которого происходит мониторинг сетевой активности, взаимодействия при отказе и состояния электропитания. Сбой любого из этих параметров на активном модуле приведет к тому, что резервный модуль станет главным. Как только определяется сбой модуля, его сетевые интерфейсы закрываются.

Два устройства обмениваются сообщениями "hello" по кабелю переключения при отказе и всем интерфейсам каждые 15 секунд (за исключением тех, которые находятся в состоянии административного выключения). Если модуль не получает ответного сообщения "hello" от интерфейса в течение двух последовательных проверок опроса, PIX помещает этот интерфейс ЛВС в режим ожидания, чтобы определить, где возникла проблема. Если резервный PIX не получает сообщения "hello" от кабеля переключения при отказе в течение двух последовательных проверок опроса, резервный PIX производит переключение и объявляет, что второй PIX неисправен. Если активное устройство PIX не принимает сообщения "hello", оно остается в активном состоянии и присваивает другому устройству PIX состояние ошибки.

Сетевой интерфейс переходит в режим проверки, если не получен пакет "hello". Тестирование сетевого интерфейса не мешает его стандартной работе. Это означает, что сетевой интерфейс даже в режиме тестирования пытается передавать обычный трафик. Процесс тестирования состоит из 4 отдельных проверок (проверка статуса NIC, проверка сетевой активности, проверка протокола разрешения адресов (ARP) и проверка PING), направленных на пробуждение сетевого трафика. Если интерфейс в режиме тестирования может принимать трафик, он считается работающим. Если интерфейс определяет другой сетевой трафик, предпологается, что возникшая проблема связана с другим модулем, который не может отправить пакет "hello". Таким образом, считается, что сбой произошел в другом модуле. Если определяется, что один тестируемый блок не может получить сетевой трафик, а другой может, неисправный блок отключает сам себя.

Помимо мониторинга всех сетевых интерфейсов функция переключения при отказе также контролирует состояние электропитания другого модуля и состояние самого кабеля для переключения при отказе. Кабель переключения при отказе дает возможность обнаружить, присоединен ли и включен другой модуль. Если отсоединить кабель от обоих устройств, коммутация блокируется. Если в активном блоке питание отключается, резервный блок принимает на себя его функции в течение 15 секунд. "Неисправный" модуль ждет 15 секунд, а затем пытается переключиться в режим ожидания. Если при переходе возникает ошибка, происходит повторный сбой устройства. Чтобы вручную переключить PIX из состояния ошибки в резервное состояние, используйте команду failover reset. Если при переходе возникает ошибка, происходит повторный сбой устройства. PIX в неисправном состоянии не может переключиться в активное состояние.

Если сбой вызван условием "link down" на интерфейсе, условие "link up" отключает состояние сбоя (например, если интерфейс отсоединен и позднее присоединен вновь).

Примечание:  Подробная информация о возможностях функции переключения при отказе содержится в документе Настройка переключения при отказе.

Восстановление после отказа

При каждом сбое или переключении в системном журнале создаются сообщения, в которых указано, что именно произошло. Восстановление после отказа с возвратом к первичному модулю не является принудительной операцией. Восстановление после отказа не является принудительным действием, поскольку нет необходимости коммутировать активную и резервную роли. Следовательно, после того, как сбой первичного модуля устранен и модуль возобновляет работу, это не означает, что он автоматически начинает выполнять активную роль. Для того чтобы активизировать модуль, используется команда failover active для резервного модуля, либо команда no failover active для активного модуля. Если используется команда Stateful Failover, информация о состоянии подключения передается от активного к резервному модулю. В противном случае сведения о состоянии не отслеживаются и приложения должны восстанавливать сеансы. Это означает, что все активные подключения будут сброшены после переключения. Поскольку новый активный модуль присваивает IP- и MAC-адреса предыдущего активного модуля, нет необходимости изменять ARP-записи где-либо в сети.

В EFT 5.0 и выше интервал опроса, равный 15 секундам, может быть изменен. Значение этого параметра может составлять от 3 до 15 секунд в зависимости от времени, необходимого для определения сбоя на различных картах интерфейса.

Проверка интерфейса

Если интерфейс не получает пакеты "hello" или интерфейс ожидает получения этого пакета более 2,5 минут после перехода другого интерфейса в нормальное состояние, интерфейс помещается в режим "тестирования" (если интерфейс не отключен и соединение присутствует). Если это происходит, другое устройство оповещается через кабель переключения при отказе о том, что интерфейс находится в режиме тестирования. Пока интерфейс находится в этом режиме поток трафика может проходить нормально при условии нормальной работы интерфейса. Тестирование начинается только при возникновении состояния ошибки и основано на принципе "если со мной все в порядке, то проблемы у вас". Тестирование включает в себя четыре последовательных проверки:

  1. Проверка статуса NIC

    Этот тест является проверкой работоспособности канала самой платы NIC. Если плата интерфейса не подключена к работающей сети, она считается неисправной.

  2. Проверка сетевой активности

    Данный тест представляет собой проверку сетевой активности приема. Модуль подсчитывает все пакеты, полученные в течение 5 секунд. Если какие-либо пакеты приходят в течение этого периода, интерфейс считается рабочим, и тестирование завершается. Если трафик не получен, устройство выполняет проверку ARP.

  3. Тестирование ARP

    При тестировании ARP с кэш ARP на устройстве считываются 10 последних записей. Затем модуль одновременно отправляет ARP-запросы на эти устройства, пытаясь стимулировать сетевой трафик. После каждого запроса модуль подсчитывает весь полученный трафик в течение интервала длительностью до 5 секунд. Если трафик получен, интерфейс считается рабочим. Если трафик не получен, запрос ARP посылается на следующую машину. Если к концу списка трафик так и не был получен, модуль выполнят проверку доступности (Ping).

  4. Проверка Ping

    Для выполнения проверки доступности модуль посылает широковещательный запрос ping. Затем модуль подсчитывает все пакеты, полученные в течение 5 секунд. Если какие-либо пакеты приходят в течение этого периода, интерфейс считается рабочим, и тестирование завершается. Если трафик не получен, тестирование опять начинает с проверки ARP.

В начале каждого теста оба модуля обнуляют счетчики полученного трафика для каждого интерфейса. После завершения каждого тестирования тестируемый модуль вначале проверяет, был ли получен какой-либо трафик. Если да, то модуль считает себя рабочим и отключает другой модуль. Если нет, он запрашивает другой модуль о том, получал ли тот какой-либо трафик. Если другой модуль получал трафик, тестируемый модуль будет признан неисправным. Если ни один модуль не получил трафика, тестирование переходит на следующий этап. Если в какой-либо момент опрашивающее устройство не получает результатов проверки от другого устройства, оно рассматривает другое устройство как неисправное, точно так же, как в том случае, если оно не получает сообщения "hello" через кабель переключения при отказе. Если активный модуль определен как неисправный, происходит переключение. Если резервный модуль определен как неисправный, он не будет использоваться как активный модуль. Результаты этих проверок отправляются через системный журнал как активным, так и резервным модулями.

Таблица аппаратных решений

На каждом PIX функция переключения при отказе ведет таблицу аппаратных решений (HDT) для обоих устройств PIX, чтобы определить, какой модуль PIX может использоваться в качестве активного устройства. Когда происходит изменение состояния интерфейса NIC, функция переключения при отказе опрашивает драйвера устройства, локальная таблица HDT обновляется, а информация об обновлении отправляется в другой PIX. Хотя таблицы HDT сравниваются в каждом цикле опроса, резервный модель может взять на себя управление, запустив переключение, только при втором опросе.

Действия при отказах в коммутируемых средах

В коммутируемых средах необходимо уделить внимание следующим двум проблемам. Во-первых, коммутатор должен получить информацию о том, что определенный MAC-адрес перемещен с одного порта на другой. Каждый модуль (если он исправен) передает серию сообщений об отказе на каждый интерфейс, используя новые MAC и IP-адреса. Это позволяет коммутатору обновлять внутренние таблицы MAC. Cisco настоятельно рекомендует своим клиентам включать функцию portfast на всех портах коммутатора, подключенных к интерфейсам PIX. Также на этих портах должны быть отключены функции выделения каналов и транкинга. Таким образом, если интерфейс PIX отключается во время переключения при отказе, коммутатор не должен ожидать 30 секунд, пока порт переходит из состояния прослушивания в состояние изучения и далее в состояние переадресации.

Такая блокировка сетевого трафика приводит к следующей проблеме. Если пакеты "hello", отправляемые переключением при отказе, не переадресуются, то каждый модуль рассматривает эту ситуацию как сбой и начинает тестирование своих интерфейсов. Это ведет к сбою одного из устройств, поскольку результаты проверки предполагают, что если с одним устройством все в порядке, значит, сбой произошел на другом устройстве. Чтобы решить эту проблему, при каждом переключении модули переводятся в состояние ожидания. В этом состоянии сетевой трафик может свободно проходить через активные модули, но механизм переключения при отказе ждет получения двух сообщений "hello" перед началом повторного мониторинга интерфейсов. Это позволяет коммутатору перейти в состояние блокировки, не нарушая процесс переключения при отказе. После получения второго сообщения "hello" функция переключения при отказе возобновляет обычный мониторинг интерфейсов.

При использовании программного обеспечения PIX версии 5.2 или более поздней на каждый сетевой интерфейс отсылается незапрошенное сообщение ARP для повторной рассылки новых IP- и MAC-адресов устройства, если устройство переходит из активного состояния в режим ожидания или наоборот.

Полноценное переключение при отказе

Поскольку после переключения значимые сведения PIX не сохраняются, все существующие подключения сбрасываются и программа запускается повторно. В ПО PIX версии 5.0 реализовано полноценное переключение при отказе, поэтому существующее подключение остается активным даже после переключения.

Для поддержки полноценного переключения при отказе требуется выделенный интерфейс локальной сети между двумя устройствами PIX. Logical Update – программный модуль, обеспечивающий передачу пакетов на приложения PIX, поддерживающих полноценное переключение при отказе. Через интерфейс локальной сети происходит обновление состояния от активного к состоянию ожидания. Обновление состояния, отсылаемое на резервный PIX, запускается приложением. Передача LU похожа на UDP. В ней нет повторной передачи и нет блокирующих приложений, задерживающих нормальную обработку пакетов. Пакеты обновления состояния передаются асинхронно в фоновом режиме. Тем не менее, протокол LU выполняется в реальном времени, поддерживает отправку оповещений об ошибках и сообщает об отсутствующих обновлениях состояния в целях проведения мониторинга.

Синхронизация начального состояния выполняется после репликации конфигурации. Это осуществляется с помощью просматривания записей в таблице трансляций и подключений. После этого можно запустить обновление состояния.

Записи трансляций адресов (xlate, static и dynamic) и соединений (conn) PIX являются важными данными, которые передаются резервному устройству от активного устройства вместе с другими сведениями о состоянии. Поскольку переключение при отказе нельзя наметить заранее, обновление состояния соединения основано на пакетах. Это значит, что каждый пакет проходит через PIX и изменяет состояние соединения, что может привести к обновлению состояния.

Происходит передача таблиц состояния TCP. Однако HTTP (TCP-порт 80) не реплицируется по умолчанию. В ПО версий 6.0 и выше можно использовать команду failover replicate http, чтобы вызвать репликацию состояния TCP-порта 80. Большинство таблиц состояний UDP не передается за исключением динамически открываемых портов, соответствующих многоканальным протоколам, включая H.323 и VoIP. Следовательно, решения DNS не передаются, поскольку данный порт является одноканальным.

Некоторые приложения чувствительны ко времени ожидания, и иногда время ожидания заканчивается еще до завершения последовательности действий переключения при отказе. В этих случаях приложение должно повторно устанавливать сеансы.

Примечание: Полный список приложений, которые можно отбросить, отсутствует, в связи с тем времени, которое необходимо резервному модулю для начала работы. Приблизительно можно принять, что резервный модуль берет на себя функции активного модуля во время полноценного переключения при отказе через 10 секунд. Без полноценного переключения при отказе на возобновление соединений может потребоваться около минуты.

Примечание: Единственной опасностью полноценного переключения при отказе может стать причина, вызвавшая этот отказ. Если частота обмена сообщениями "hello" установлена максимум на 15 секунд, а внутренний интерфейс отказывается работать, резервный модуль не сообщает об отказе основного модуля до тех пор, пока не будут пропущены по крайней мере два сообщения "hello", что займет 30 секунд. Некоторые пользователи устаналивают значение сообщения "hello" минимум на 3 секунды, но это может привести к необязательному переключению PIX. Cisco рекомендует установить параметр обмена сообщениями "hello" максимум на 15 секунд.

Команды переключения при отказе

  • [no] failover - данная команда включает и выключает обработку отказа.

  • [no] failover active - переводит устройство в активное состояние/состояние ожидания.

  • failover ip address #.#.#.# - устанавливает IP-адрес переключения при отказе.

  • failover reset - удаляет неисправное состояние обоих устройств и перезапускает переключение при отказе.

  • [no] failover link interface - определяет, какой интерфейс необходимо использовать для передачи обновления состояния от активного до резервного PIX в полноценном переключении при отказе.

  • failover poll seconds - определяет интервал опроса переключения при отказе (ПО PIX версий 5.2 и выше).

  • failover lan unit primary | secondary - используется во время переключения при отказе в локальных сетях для определения основного/вторичного устройства (PIX версии 6.2 и выше).

  • failover lan enable - определяет переключение при отказе в локальной сети (PIX версии 6.2 и выше).

  • failover lan interface lan_if_name - имя интерфейса брандмауэра, выделенного для переключение при отказе в локальной сети (PIX версии 6.2 и выше).

  • failover lan key key_secret - включает функции шифрования и аутентификации сообщений переключения при отказе в локальной сети между брандмауэрами PIX с помощью секретного ключа (PIX версии 6.2 и выше).

  • failover mac address mif_name act_mac stn_mac - позволяет настраивать виртуальный MAC-адрес для пары брандмауэра PIX во время переключения при отказе вместо того, чтобы обращаться за адресом к другому одноранговому узлу (PIX версии 6.2 и выше).

Пример выходных данных команды "show failover"

В этих примерах подразумевается, что кабель переключения при отказе установлен и работает. Также в примерах предполагается, что блоки настроены с использованием системного IP-адреса 192.168.89.1 и IP-адресом переключения при отказе 192.168.89.2.

Пример. Стандартное переключение при отказе

В этом примере показаны обычные выходные данные команды show failover. Обратите внимание, что отображаются IP-адреса всех устройств. Если не был введен IP-адрес для переключения при отказе, он отображается как 0.0.0.0, и мониторинг интерфейсов остается в состоянии ожидания. Рассмотрим раздел: Мониторинг переключения при отказе не начался, где приводятся объяснения состояния "ожидания".

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active 
			Active time: 6885 (sec)
			Interface 0 (192.168.89.1): Normal 
			Interface 1 (192.168.89.1): Normal 
		Other host: Secondary - Standby 
			Active time: 0 (sec)
			Interface 0 (192.168.89.2): Normal 
			Interface 1 (192.168.89.2): Normal 

Пример. "Мониторинг переключения при отказе не начался"

В этом примере демонстрируется, что происходит, если функция переключения при отказе не начинает мониторинг сетевых интерфейсов. Функция переключения при отказе не начинает мониторинг сетевых интерфейсов, пока не получит второй пакет сообщений "hello" от другого устройства на этом интерфейсе. Это займет около 30 секунд. Если модуль присоединен к сетевому коммутатору, работающему по протоколу STP, настроенное на коммутаторе время "задержки пересылки" (обычно оно составляет 15 сек) увеличивается в два раза плюс 30 сек задержки. Это происходит потому, что при загрузке PIX и сразу же после переключения при отказе, сетевой коммутатор определяет временную замкнутую петлю. После обнаружения этой петли коммутатор перестает направлять пакеты на этих интерфейсы в течение времени "задержки пересылки". Затем он переходит в режим "прослушивания" для дополнительной "задержки пересылки", в течение которой коммутатор принимает замкнутые петли, но не пересылает трафик (и, следовательно, не пересылает пакеты "hello" переключения при отказе). Поток трафика должен возобновиться по прошествии двойного времени задержки пересылки (30 секунд). Каждый PIX остаётся в "ждущем" режиме все время, пока получает 30-секундные "hello"-пакеты от другого блока. Во время передачи трафика PIX не вызывает сбой в других модулях, исходя из отсутствия пакетов "hello". Все остальные виды мониторинга переключения при отказе сохраняются (имеется в виду мониторинг питания, потери интерфейса на канале, а также сообщение "hello" кабеля переключения при отказе).

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active 
			Active time: 6930 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)
		Other host: Secondary - Standby 
			Active time: 15 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Normal (Waiting)

Пример. Сбой блока

В этом примере функция переключения при отказе обнаруживает сбой. Обратите внимание на то, что причиной сбоя является интерфейс 1 на основном модуле. В связи с возникновением ошибки устройства переводятся в режим ожидания. Отказавшее устройство удаляется из сети (интерфейсы отключаются) и больше не отправляет пакеты "hello" в сеть. Активный модуль остается в состоянии ожидания, пока неисправный модуль не будет заменен и функция переключения при отказе не возобновится.

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Standby (Failed)
			Active time: 7140 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Failed (Waiting)
		Other host: Secondary - Active 
			Active time: 30 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)

Пример. Полноценное переключение при отказе

В этом примере показаны выходные данные команды show failover с включенной функцией полноценного переключения при отказе. Обратите внимание на то, что появляется сообщение "Частота опроса - 4 секунды". Сетевой интерфейс 4 находится в состоянии административного выключения. Сетевой интерфейс FailLink - это канал полноценного переключения при отказе.

Failover On
Cable status: Normal
Reconnect timeout 0:00:00
Poll frequency 4 seconds
        This host: Secondary - Active 
                Active time: 167464 (sec)
                Interface gb (7.7.7.1): Normal 
                Interface 4th (172.1.1.3): Link Down (Shutdown)
                Interface FailLink (8.8.8.1): Normal 
                Interface pix/intf2 (100.2.1.3): Normal 
                Interface outside (100.1.1.3): Normal 
                Interface inside (10.1.1.3): Normal 
        Other host: Primary - Standby 
                Active time: 0 (sec)
                Interface gb (7.7.7.2): Normal 
                Interface 4th (172.1.1.4): Link Down (Shutdown)
                Interface FailLink (8.8.8.2): Normal 
                Interface pix/intf2 (100.2.1.4): Normal 
                Interface outside (100.1.1.4): Normal 
                Interface inside (10.1.1.4): Normal 


Stateful Failover Logical Update Statistics
     Link : FailLink
     Stateful Obj    xmit       xerr       rcv        rerr 
     General        22501          0     34259           0 
     sys cmd        16007          0     33961          13 
     up time            4          0         2           0 
     xlate           5094          0         6           0 
     tcp conn         514          0       290           0 
     udp conn           0          0         0           0 
     ARP tbl          882          0         0           0 
     RIP Tbl            0          0         0           0 
     Logical Update Queue Information
              Cur   Max    Total
     Recv Q:    0     3    34259
     Xmit Q:    0     7    22504

Прочие сведения о переключениях при отказе см. в Руководстве по конфигурации брандмауэра PIX.

Если с устройства Cisco получены выходные данные команды show failover, то в этом случае можно использовать инструмент Output Interpreter (только для зарегистрированных клиентов), который отображает потенциальные проблемы и предлагает способы их решения.

Переключение при отказе на основе локальной сети

Схема переключения при отказе на основе локальной сети

failover_01.gif

Рекомендуется подключать основные и вспомогательные брандмауэры PIX с помощью выделенного коммутатора. Не используйте перекрестный кабель. В этой диаграмме для соединения основных и вспомогательных устройств PIX используется коммутатор Cisco Catalyst 3500. Каналы переключения при отказе на основе локальной сети и полноценного переключения при отказе находятся в разных виртуальных сетях: VLAN 10 и VLAN 20, соответственно. Внутренний и внешний маршрутизаторы используются только в целях проверки соединения.

Минимальная начальная конфигурация основного PIX

Ниже приведен минимальный список необходимых команд для настройки на основном PIX:

Основные команды

pixfirewall(config)#hostname PIX                                

!--- Присвоение имени PIX необязательно.

PIX(config)#nameif ethernet2 fo security20                 

!--- Присвоение имени интерфейсу необязательно. Рекомендуется жестко закодировать
!--- скорость/дуплекс.
 
PIX(config)#interface ethernet2 100full                            

!--- Вызовите интерфейс.
 
PIX(config)#ip address fo 192.168.1.1 255.255.255.0  

!--- Присвойте IP-адрес.

Команды переключения при отказе

PIX(config)#failover ip address fo 192.168.1.2

!--- IP-адрес для канала переключения при отказе.

PIX(config)#failover lan unit primary                

!--- Это устройство основное
. 
PIX(config)#failover lan interface fo                 

!--- Интерфейс "fo" используется для переключения при отказе локальной сети. 

PIX(config)#failover lan key cisco                     

!--- Предварительный ключ.

PIX(config)#failover lan enable                          

!--- Включает переключение при отказе.

PIX(config)#failover                                 

!--- Запуск процесса переключения при отказе.

Следующее сообщение появляется в консоли:

LAN-based Failover: trying to contact peer 
LAN-based Failover: Send hello msg and start failover monitoring 

Минимальная начальная конфигурация на вспомогательном брандмауэре PIX

Ниже приведен минимальный список необходимых команд для настройки на основном PIX:

Основные команды

pixfirewall(config)#hostname PIX 
PIX(config)#nameif ethernet2 fo security20

!--- Рекомендуется жестко закодировать скорость/дуплекс. 
 
PIX(config)#interface ethernet2 100full
PIX(config)#ip address fo 192.168.1.1 255.255.255.0 

Команды переключения при отказе

PIX(config)#failover ip address fo 192.168.1.2 
PIX(config)#failover lan unit secondary                    

!--- Это устройство вспомогательное. 

PIX(config)#failover lan interface fo 
PIX(config)#failover lan key cisco 
PIX(config)#failover lan enable 
PIX(config)#failover

!--- Это устройство является вспомогательным, поскольку не используется ключевое слово "активный".

После выполнения этих команд на вспомогательном PIX на консоли появляются следующие сообщения:

LAN-based Failover: trying to contact peer?? 
LAN-based Failover: Send hello msg and start failover monitoring 

Затем, на основном PIX на консоли появляются следующие сообщения:

LAN-based Failover: Peer is UP
Sync Started
Sync Completed

Примечание: Если эти сообщения отсутствуют, значит произошла ошибка. Для того, чтобы быстро устранить эту проблему, включите функцию отладки ошибок ICMP на вспомогательном устройстве с помощью команды debug icmp trace и выполните проверку связи от основного устройств к IP-адресу переключения при отказе.

Примечание: На основном PIX:

PIX(config)#ping 192.168.1.2 
        192.168.1.2 response received -- 0ms 
        192.168.1.2 response received -- 0ms 
        192.168.1.2 response received -- 0ms 
PIX(config)# 

On Secondary Unit 
PIX(config)#debug icmp trace    

!--- Выполните следующую команду до начала проверки связи. 

ICMP trace on 
Warning: this may cause problems on busy networks 
PIX(config)# 1: ICMP echo request (len 32 id 9233 seq 0) 
   192.168.1.1 > 192.168.1.2 
2: ICMP echo reply (len 32 id 9233 seq 0) 192.168.1.2 > 192.168.1.1 
3: ICMP echo request (len 32 id 9233 seq 1) 192.168.1.1 > 192.168.1.2 
4: ICMP echo reply (len 32 id 9233 seq 1) 192.168.1.2 > 192.168.1.1 
5: ICMP echo request (len 32 id 9233 seq 2) 192.168.1.1 > 192.168.1.2 
6: ICMP echo reply (len 32 id 9233 seq 2) 192.168.1.2 > 192.168.1.1 

Примечание: После завершения выключите эти отладки с помощью команды no debug icmp trace.

Если проверка связи не удалась, проверьте конфигурации VLAN и порта на промежуточном коммутаторе. Также убедитесь, что используются надежные кабели категории Cat 5.

Выход основного PIX:

PIX(config)#show failover lan 

LAN-based Failover is Active 
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal 

PIX(config)#show failover 
Failover On 
Cable status: My side not connected   

!--- Последовательный кабель переключения при отказе не используется.
  
Reconnect timeout 0:00:00 
Poll frequency 15 seconds 
        This host: Primary - Active 
                Active time: 4335 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface intf3 (0.0.0.0): Link Down (Shutdown) 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 
        Other host: Secondary - Standby 
                Active time: 30 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface intf3 (0.0.0.0): Link Down (Shutdown) 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 

Stateful Failover Logical Update Statistics 
        Link : Unconfigured.

!--- Полноценное переключение при отказе еще не настроено. 

  

LAN-based Failover is Active 
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal

Выход вспомогательного PIX:

PIX(config)#show failover lan 

LAN-based Failover is Active 
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal 
  

PIX(config)#show failover 
Failover On 
Cable status: My side not connected           

!--- Последовательный кабель переключения при отказе не используется. 

Reconnect timeout 0:00:00 
Poll frequency 15 seconds 
        This host: Secondary - Standby 
                Active time: 30 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface intf3 (0.0.0.0): Link Down (Shutdown) 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 
        Other host: Primary - Active 
                Active time: 4485 (sec) 
                Interface intf5 (127.0.0.1): Link Down (Shutdown) 
                Interface intf4 (127.0.0.1): Link Down (Shutdown) 
                Interface intf3 (127.0.0.1): Link Down (Shutdown) 
                Interface outside (127.0.0.1): Link Down (Shutdown) 
                Interface inside (127.0.0.1): Link Down (Shutdown) 

Stateful Failover Logical Update Statistics 
        Link : Unconfigured. 

!--- Полноценное переключение при отказе еще не настроено. 

  

LAN-based Failover is Active 
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal 

Другая конфигурация - полноценное переключение при отказе

Основные команды для основного и вспомогательного устройства PIX завершены.

В этом примере интерфейс E3 был использован для передачи информации о состояниях между двумя модулями. Если PIX не сильно загружен, то интерфейс E2 (который используется для проверки работоспособности и репликации конфигурации) можно использовать и для этой цели. Для данной цели рекомендуется использовать отдельный интерфейс.

Настройте следующие команды на основном PIX:

ip address stateful-fo 172.16.1.1 255.255.255.0 
interface ethernet3 100full
failover ip address stateful-fo 172.16.1.2 
failover link stateful-fo 

Настройте следующие команды на вспомогательном PIX:

ip address stateful-fo 172.16.1.2 255.255.255.0
nameif ethernet3 stateful-fo security30
interface ethernet3 100full

Проверьте состояние:

PIX(config)#show failover 
Failover On 
Cable status: My side not connected 
Reconnect timeout 0:00:00 
Poll frequency 15 seconds 
        This host: Primary - Active 
                Active time: 3945 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface stateful-fo (172.16.1.1): Normal 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 
        Other host: Secondary - Standby 
                Active time: 30 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface stateful-fo (172.16.1.2): Normal 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 

Статистика модуля LU полноценного переключения при отказе

 
Link : stateful-fo

!--- Интерфейс "stateful-fo" используется для полноценного переключения при отказе.
. 
Stateful Obj    xmit       xerr       rcv        rerr 
General         40         0          40         0 
sys cmd         40         0          40         0 
up time         0          0          0          0 
xlate           0          0          0          0 
tcp conn        0          0          0          0 
udp conn        0          0          0          0 
ARP tbl         0          0          0          0 
RIP Tbl         0          0          0          0 

Logical Update Queue Information 
                        Cur     Max     Total 
Recv Q:         0       1       41 
Xmit Q:         0       1       41 

LAN-based Failover is Active 
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal 
  

PIX(config)#show failover lan detail 

LAN-based Failover is Active 
This PIX is Primary 
Command Interface is fo 
My Command Interface IP is 192.168.1.1 
Peer Command Interface IP is 192.168.1.2 
My interface status is Normal 
Peer interface status is Normal 
Peer interface down time is 0x0

!--- Принято. 


Total cmd msgs sent: 2579, rcvd: 2241, dropped: 2, retrans: 19, send_err: 0 
Total secure msgs sent: 2760, rcvd: 2383 
bad_signature: 0, bad_authen: 0, bad_hdr: 0, bad_osversion: 0, bad_length: 0 
Total failed retx lck cnt: 0 
Total/Cur/Max of 1245:0:1 msgs on retransQ, 1239 ack msgs 
Cur/Max of 0:21 msgs on txq 
Number of blk allocation failure: 0, cmd failure: 0, Flapping: 0 

Current cmd window: 1, Slow cmd Ifc cnt: 0 
Cmd Link down: 0, down and up: 0, Window Limit: 4301 
Number of fmsg allocation failure: 0 
Cmd Response Time History stat: 
< 100ms:         1237 
100 - 250ms:     0 
250 - 500ms:     0 
500 - 750ms:     0 
750 - 1000ms:    0 
1000 - 2000ms:   7 
2000 - 4000ms:   5 
> 4000ms:        9 
Cmd Response Retry History stat: 
Retry 0 = 1242, 1 = 5, 2 = 5, 3 = 3, 4 = 3 
Failover enable state is 0x1 
Failover state is 0x7d 
Failover peer state is 0x58 
Failover switching state is 0x0 
Failover config syncing is not in progress 
Failover poll cnt is 0 
Failover Fmsg cnt is 0 
Failover OS version is 6.2(0)243 
failover interface 0, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x807696d8 
    act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00d0.b71d.2b4d, stb_mac: 00d0.b780.574f 
failover interface 1, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769738 
    act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00d0.b71a.e6fb, stb_mac: 00e0.b600.8673 
failover interface 2, tst_mystat = 0x0, tst_peerstat = 0x2 
    zcnt = 0, hcnt = 0, my_rcnt = 2271, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769618 
    act_ip: 192.168.1.1, stn_ip:192.168.1.2 
    act_mac: 00e0.b600.a931, stb_mac: 00e0.b600.a931 
LAN-based Failover command link 
failover interface 3, tst_mystat = 0x0, tst_peerstat = 0x0 
    zcnt = 0, hcnt = 0, my_rcnt = 88, peer_rcnt = 54 
    myflag = 0x1, peer_flag=0x1, dchp = 0x80769558 
    act_ip: 172.16.1.1, stn_ip:172.16.1.2 
    act_mac: 00e0.b600.a930, stb_mac: 00e0.b600.8671 
failover interface 4, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769498 
act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00e0.b600.a92f, stb_mac: 00e0.b600.8670 
failover interface 5, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x807693d8 
    act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00e0.b600.a92e, stb_mac: 00d0.b780.564f 

Другие конфигурации основного PIX

Далее представлена другая конфигурация основного устройства PIX.

  1. Жестко запрограммируйте скорость/дуплекс для других интерфейсов. Можно использовать автоматизированный режим, но рекомендуется жестко закодировать скорость/дуплекс.

    interface ethernet0 100full 
    interface ethernet1 100full
    
  2. Присвойте IP-адреса другим интерфейсам.

    ip address outside 1.1.1.1 255.255.255.0 
    ip address inside 10.10.10.1 255.255.255.0
    
  3. Добавьте команду failover ip address для всех интерфейсов за исключением закрытых:

    failover ip address outside 1.1.1.2
    failover ip address inside 10.10.10.2
    

Другие конфигурации вспомогательного PIX

Далее представлена конфигурация вспомогательного устройства PIX.

  1. Жестко запрограммируйте скорость/дуплекс для других интерфейсов. Можно использовать автоматизированный режим, но рекомендуется жестко закодировать скорость/дуплекс.

    interface ethernet0 100full 
    interface ethernet1 100full
    
  2. Присвойте IP-адреса другим интерфейсам.

    ip address outside 1.1.1.2 255.255.255.0 
    ip address inside 10.10.10.1 255.255.255.0 
    

Ниже приведены выходные данные вспомогательного PIX после переключения при отказе.

PIX(config)#show failover 
Failover On
Cable status: My side not connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
        This host: Secondary - Active 
                Active time: 315 (sec)
                Interface intf5 (127.0.0.1): Link Down (Shutdown)
                Interface intf4 (127.0.0.1): Link Down (Shutdown)
                Interface stateful-fo (172.16.1.2): Normal (Waiting)
                Interface outside (1.1.1.2): Normal (Waiting)
                Interface inside (10.10.10.2): Normal (Waiting)
        Other host: Primary - Standby 
                Active time: 8025 (sec)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface stateful-fo (172.16.1.2): Normal (Waiting)
                Interface outside (1.1.1.2): Normal (Waiting)
                Interface inside (10.1.1.2): Link Down (Waiting)

Stateful Failover Logical Update Statistics
        Link : stateful-fo
        Stateful Obj    xmit       xerr       rcv        rerr      
        General         146        0          0          0         
        sys cmd         146        0          0          0         
        up time         0          0          0          0         
        xlate           0          0          0          0         
        tcp conn        0          0          0          0         
        udp conn        0          0          0          0         
        ARP tbl         0          0          0          0         
        RIP Tbl         0          0          0          0         

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       1       146

LAN-based Failover is Active
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal

На устройстве PIX можно также настроить другие команды переключения при отказе:

failover mac address <ifc_name> <act_mac> <stn_mac>
failover poll <сек>
failover replication http
outside-router#write  terminal

interface FastEthernet3/1 
 ip address 1.1.1.200 255.255.255.0 
 duplex auto 
 speed auto 
  
  
inside-router#write  terminal
interface FastEthernet2/1 
 ip address 10.10.10.200 255.255.255.0 
 duplex auto 
 speed auto 
! 
ip route 0.0.0.0 0.0.0.0 10.10.10.1 

Продолжайте настройку основного модуля, и настройка для вспомогательного модуля будет автоматически скопирована.

Вопросы и ответы

  1. Как выполняется инициализация запуска между двумя модулями?

    По умолчанию функции переключения при отказе присваивается значение "Выкл." (нет переключения при отказе). Однако если кабель переключения при отказе установлен в модуле во время загрузки, то функция переключения при отказе автоматически обнаруживает кабель, запускает процесс и выбирает основное и вспомогательное устройство. Это происходит во время загрузки даже если IP-адреса переключения при отказе не настроены должным образом.

    Примечание: Если кабель установлен в работающем PIX, необходимо выполнить команду failover, чтобы запустить переключение при отказе. Этого можно избежать в ПО PIX версии позднее 4.4.3. Это происходит потому, что репликация конфигурации может случайно отключить функцию переключения при отказе с помощью команды clear config. Если во время загрузки кабель переключения при отказе отсутствовал, устройство становится активным модулем. Однако модуль отображается как "Secondary."

    Данное обсуждение подразумевает, что функция переключения при отказе включена и кабель подключен к обоим модулям. При первой загрузке модуля он запускает переключение при отказе и присваивает модулю статус резервного, если питание поступает от другого модуля. Модуль отсылает динамический статус (резервный) и запрашивает MAC-адрес от другого модуля. Если ни одно устройство не взяло на себя активное управление во время последовательного опроса при переключении при отказе, то данное устройство становится активным.

    Примечание: В ПО PIX версий ранее 5.2.1 время последовательного опроса при переключении при отказе жестко запрограммировано на 15 секунд.

    Обычно другое устройство отвечает на запрос или отправляет сообщение "HELLO" о переключении при отказе для каждого опроса. После начала связи по кабелю переключения при отказе оба модуля проверяют активное/резервное состояние. Основной модуль переходит в активное состояние, если вспомогательный модуль находится в режиме ожидания. Это означает, что если основной и вспомогательный модули выполняют загрузку во время первой проверки опроса отказов друг друга, основной модуль становится активным. Если вспомогательный модуль уже находится в активном состоянии, основной модуль переходит в режим ожидания (предполагается, что вспомогательный модуль уже получил первичный MAC-адрес). Основной модуль не становится активным элементом управления автоматически. С включенной функцией переключения при отказе не следует загружать вспомогательный модуль до загрузки основного, поскольку используемый MAC-адрес берется с основного модуля. Если модуль загружается при отсутствии кабеля переключения при отказе или через этот кабель не происходит соответствующего взаимодействия при отказе, то оба модуля могут стать активными и сетевой трафик прервется.

    С включенной функцией переключения при отказе полная репликация конфигурации происходит от активного к резервному модулю после того, как резервный модуль впервые загружается. С этого момента введенные команды передаются от активного модуля к резервному. Для того, чтобы выполнить полную репликацию конфигурации, используйте команду write standby . Репликация конфигурации может производиться только с активного на резервное устройство. Команды, введенные в резервном устройстве, не реплицируются в активное устройство. При введении команд на резервном модуле появляется предупреждающее сообщение, уведомляющее, что конфигурации больше не синхронизированы.

  2. Что приводит к сбою?

    Обнаружение ошибок основано на следующем:

    1. Состояние платы сетевого интерфейса (NIC). Если состояние канала или плата NIC не работают, происходит сбой устройства. "Down" означает, что плата NIC не подключена к операционному порту. Если плата NIC была настроена с этим параметром, тестирование все равно будет успешно.

    2. Связь в сети с переключением при отказе. Два устройства обмениваются сообщениями "hello" по всем сетевым интерфейсам. Если ни один пакет "hello" не был получен в течение 30 секунд, неисправный интерфейс переходит в режим тестирования, чтобы определить причину ошибки.

    3. Связь по кабелю переключения при отказе. Два устройства обмениваются сообщениями "hello" по кабелю переключения при отказе. Если резервный модуль не получает сигнала от активного модуля в течение 30 секунд, а кабель находится в исправном состоянии, резервное устройство принимает на себя функции активного.

      Если команды переключения при отказе, переданные по кабелю, не подтверждаются в течение 15 секунд, резервный модуль становится активным.

    4. Ошибки кабеля. Кабель для переключения при отказе устроен таким образом, чтобы можно было опознать произошедшую ошибку:

      • сбой питания в другом устройстве;

      • отключение кабеля этого модуля;

      • отключение кабеля от другого устройства.

      Если резервное устройство обнаруживает отключение активного оборудования (либо перезагрузку/сброс), оно берет на себя функции активного модуля. Если кабель для переключения при отказе не подключен, генерируется сообщение системного журнала, но переключение не происходит. Исключением является время загрузки, когда отключенный кабель приводит модуль в состояние активности. Если оба устройства включены без установленного кабеля переключения при отказе, они оба становятся активными, что приводит к появлению дублирующего IP-адреса с разными MAC-адресами и возникновению конфликта в сети. Чтобы функция переключения при отказе работала правильно, необходимо установить соответствующий кабель.

  3. Сколько времени требуется на обнаружение ошибки при использовании значений интервала опроса по умолчанию?

    • Обнаружение ошибок сетевого соединения происходит в течение 30 секунд.

    • Обнаружение ошибок взаимодействия при отказе происходит в течение 30 секунд.

    • Сбой питания (и повреждение кабеля) обнаруживается в течение 15 секунд.

  4. Что происходит, когда запускается переключение при отказе?

    Любой модуль может инициировать переключение. При переключении каждое устройство меняет свое состояние, а также используемые IP-адреса и MAC-адреса. С точки зрения работы сети резервное устройство явно заменяет собой активный модуль. Поскольку настройка резервного модуля уже завершена, обновления не требуются. Модули не находятся одновременно в состоянии динамического подключения. Во время переключения при отказе все активные подключения будут сброшены. Клиент должен повторно установить подключения через активный модуль (за исключением случая, когда используется полноценное переключение при отказе). При каждом переключении новый активный модуль посылает сообщение в системный журнал по этой причине.

    Пример.

    Switching to ACTIVE (cause: no power detected from other side).

    Другие причины:

    • "normal master"

    • "no failover cable"

    • "no power detected from other side"

    • "unable to talk to the other side"

    • "line interface failed at other side"

    • "do not see traffic count change"

    • "the other side wants me to take over"

    • "fail reported by the other side"

    • "state check"

    • "set by the ioctl cmd"

  5. Какое обслуживание необходимо?

    Для мониторинга состояний двух модулей используйте команду show fail . Системные журналы заполняются при возникновении ошибок и переключений.

  6. Как запретить переключение при отказе?

    Извлеките кабель переключения при отказе из модуля и настройте его с помощью команды no failover. Программное обеспечение функции переключения при отказе обнаруживает отсутствие кабеля и автоматически отключает данную функцию.

  7. Что такое пакет отказа?

    Это PIX-5XX-FO-BUN, состоящий из шасси, ПО и двух портов 10/100. Клиентам не нужно приобретать соответствующее ПО для PIX 515. Данный пакет включает в себя неограниченное ПО PIX. Данный модуль используется только для переключения при отказе. Чтобы сохранить информацию, убедитесь, что на отказоустойчивом устройстве запущена команда write memory. Если конфигурация не сохранена, а резервный блок перезагружен, он теряет конфигурацию, скопированную с основного блока.

Информация, которую необходимо собрать при обращении в службу технической поддержки Cisco

Если после выполнения перечисленных выше действий по устранению неполадок проблема остается, соберите указанные ниже сведения для брандмауэра PIX и обратитесь за помощью в Центр технической поддержки Cisco (TAC).

  • Описание проблемы и соответствующие аспекты топологии

  • Действия по устранению неполадок, произведенные перед обращением за поддержкой

  • Выходные данные команды show tech-support (с основного и вспомогательного брандмауэра)

  • Выходные данные команды show log после запуска вместе с командой logging buffered debugging или снимки консоли, демонстрирующие проблему (по возможности)

Присоедините собранные данные к запросу на обслуживание в простом текстовом формате (.txt), не архивируя вложенный файл. Информацию можно приложить к запросу путем загрузки с помощью средства Case Query Tool (только для зарегистрированных клиентов). Если средство Case Query недоступно, необходимые данные можно отправить вложением в электронное сообщение на адрес attach@cisco.com; в теме сообщения следует указать номер обращения.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительная информация


Document ID: 5220