PIX/ASA: Konfigurationsbeispiel für Active/Active Failover

Download-Optionen

  • PDF     (359.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:4. November 2009
Dokument-ID:91336

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Für die Failover-Konfiguration sind zwei identische Security Appliances erforderlich, die über eine dedizierte Failover-Verbindung und optional eine Stateful Failover-Verbindung miteinander verbunden sind. Der Status der aktiven Schnittstellen und Einheiten wird überwacht, um festzustellen, ob bestimmte Failover-Bedingungen erfüllt sind. Wenn diese Bedingungen erfüllt sind, findet ein Failover statt.

Die Security Appliance unterstützt zwei Failover-Konfigurationen: Aktiv/Aktiv-Failover und Aktiv/Standby-Failover. Für jede Failover-Konfiguration gibt es eine eigene Methode zum Bestimmen und Durchführen eines Failovers. Bei Aktiv/Aktiv-Failover können beide Geräte den Netzwerkverkehr weiterleiten. Auf diese Weise können Sie den Lastenausgleich für Ihr Netzwerk konfigurieren. Active/Active Failover ist nur auf Geräten verfügbar, die im Multi-Context-Modus ausgeführt werden. Bei Aktiv/Standby-Failover leitet nur eine Einheit den Datenverkehr weiter, während die andere Einheit im Standby-Status wartet. Aktiv/Standby-Failover ist auf Geräten verfügbar, die im Einzel- oder Mehrfachkontextmodus ausgeführt werden. Beide Failover-Konfigurationen unterstützen Stateful- oder Stateless-Failover (regulär).

Der Schwerpunkt dieses Dokuments liegt auf der Konfiguration eines Aktiv/Aktiv-Failovers in der Cisco PIX/ASA Security Appliance.

Weitere Informationen zu den Active/Standby-Failover-Konfigurationen finden Sie im Konfigurationsbeispiel für PIX/ASA 7.x Active/Standby Failover.

Hinweis: VPN-Failover wird nicht auf Geräten unterstützt, die im Mehrfachkontextmodus ausgeführt werden, da VPN im Mehrfachkontextmodus nicht unterstützt wird. VPN-Failover ist nur für Aktiv/Standby-Failover-Konfigurationen in Einzelkontext-Konfigurationen verfügbar.

Dieser Konfigurationsleitfaden enthält eine Beispielkonfiguration mit einer kurzen Einführung in die PIX/ASA 7.x Active/Active-Technologie. In der Cisco Security Appliance Command Reference, Version 7.2 finden Sie eine genauere Beschreibung der dieser Technologie zugrunde liegenden Theorie.

Voraussetzungen

Anforderungen

Hardware-Anforderungen

Die Hardwarekonfiguration der beiden Geräte in einer Failover-Konfiguration muss identisch sein. Es muss sich um dasselbe Modell handeln, die gleiche Anzahl und die gleichen Schnittstellentypen und die gleiche RAM-Größe haben.

Hinweis: Die beiden Geräte benötigen nicht die gleiche Größe Flash-Speicher. Wenn Sie in Ihrer Failover-Konfiguration Einheiten mit unterschiedlichen Flash-Speichergrößen verwenden, stellen Sie sicher, dass die Einheit mit dem kleineren Flash-Speicher genügend Platz für die Software-Image-Dateien und die Konfigurationsdateien hat. Wenn dies nicht der Fall ist, schlägt die Konfigurationssynchronisierung vom Gerät mit dem größeren Flash-Speicher zum Gerät mit dem kleineren Flash-Speicher fehl.

Softwareanforderung

Die beiden Geräte einer Failover-Konfiguration müssen sich im Betriebsmodus befinden (geroutet oder transparent, mit einem oder mehreren Kontexten). Sie müssen die gleiche Haupt- (erste Nummer) und Nebenversion (zweite Nummer) der Software haben, Sie können jedoch verschiedene Versionen der Software innerhalb eines Upgrade-Prozesses verwenden. So können Sie beispielsweise ein Upgrade für eine Einheit von Version 7.0(1) auf Version 7.0(2) durchführen, während das Failover aktiv bleibt. Cisco empfiehlt zur Gewährleistung der langfristigen Kompatibilität ein Upgrade beider Systeme auf die gleiche Version.

Weitere Informationen zum Upgrade der Software für ein Failover-Paar finden Sie unter Performing Zero Downtime Upgrades for Failover Pairs (Durchführen von Upgrades ohne Ausfallzeiten für Failover-Paare).

Lizenzanforderungen

Auf der PIX/ASA Security Appliance-Plattform muss mindestens eine der Einheiten über eine uneingeschränkte (UR)-Lizenz verfügen. Die andere Einheit kann über eine Failover Only Active-Active (FO_AA)-Lizenz oder eine andere UR-Lizenz verfügen. Einheiten mit eingeschränkter Lizenz können nicht für Failover verwendet werden, und zwei Einheiten mit FO_AA-Lizenzen können nicht zusammen als Failover-Paar verwendet werden.

Hinweis: Möglicherweise müssen Sie die Lizenzen für ein Failover-Paar aktualisieren, um von zusätzlichen Funktionen und Vorteilen zu profitieren. Weitere Informationen zum Upgrade finden Sie unter Lizenzschlüssel-Upgrade bei einem Failover-Paar.

Hinweis: Die lizenzierten Funktionen, z. B. SSL VPN-Peers oder Sicherheitskontexte, auf beiden Sicherheits-Appliances, die an einem Failover teilnehmen, müssen identisch sein.

Hinweis: Die FO-Lizenz unterstützt kein Active/Active Failover.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • PIX Security Appliance mit Version 7.x und höher

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Verwandte Produkte

Diese Konfiguration kann auch mit den folgenden Hardware- und Softwareversionen verwendet werden:

  • ASA mit Version 7.x und höher

Hinweis: Aktiv/Aktiv-Failover ist auf der Adaptive Security Appliance der Serie ASA 5505 nicht verfügbar.

Konventionen

Weitere Informationen und Konventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Aktiv/Aktiv Failover

In diesem Abschnitt wird Aktiv/Standby-Failover beschrieben. Dabei werden folgende Themen behandelt:

Überblick über Active/Active Failover

Aktiv/Aktiv-Failover ist nur für Sicherheits-Appliances im Mehrfachkontextmodus verfügbar. In einer Aktiv/Aktiv-Failover-Konfiguration können beide Security Appliances Netzwerkverkehr weiterleiten.

Bei Aktiv/Aktiv-Failover teilen Sie die Sicherheitskontexte auf der Security Appliance in Failover-Gruppen auf. Eine Failover-Gruppe ist einfach eine logische Gruppe aus einem oder mehreren Sicherheitskontexten. Sie können maximal zwei Failover-Gruppen auf der Security Appliance erstellen. Der Admin-Kontext ist immer Mitglied der Failover-Gruppe 1. Nicht zugewiesene Sicherheitskontexte sind standardmäßig auch Mitglieder der Failover-Gruppe 1.

Die Failover-Gruppe bildet die Basiseinheit für Failover in Aktiv/Aktiv-Failover. Schnittstellenausfallüberwachung, Failover und Aktiv/Standby-Status sind Attribute einer Failover-Gruppe und nicht der Einheit. Wenn eine aktive Failover-Gruppe ausfällt, wechselt sie in den Standby-Status, während die Standby-Failover-Gruppe aktiv wird. Die Schnittstellen in der Failover-Gruppe, die aktiv wird, übernehmen die MAC- und IP-Adressen der ausgefallenen Schnittstellen in der Failover-Gruppe. Die Schnittstellen in der Failover-Gruppe, die sich nun im Standby-Zustand befindet, übernehmen die Standby-MAC- und -IP-Adressen.

Hinweis: Eine Failover-Gruppe, die auf einem Gerät ausfällt, bedeutet nicht, dass das Gerät ausgefallen ist. Möglicherweise wird der Datenverkehr weiterhin von einer anderen Failover-Gruppe weitergeleitet.

Primär-/Sekundärstatus und Aktiv-/Standby-Status

Wie bei Aktiv/Standby-Failover wird eine Einheit in einem Aktiv/Aktiv-Failover-Paar als primäre Einheit und die andere Einheit als sekundäre Einheit bezeichnet. Im Gegensatz zu Active/Standby-Failover gibt diese Bezeichnung nicht an, welches Gerät aktiv wird, wenn beide Geräte gleichzeitig starten. Stattdessen bewirkt die primäre/sekundäre Bezeichnung zweierlei:

  • Bestimmt, welche Einheit die aktuelle Konfiguration dem Paar bereitstellt, wenn es gleichzeitig bootet.

  • Bestimmt, auf welcher Einheit die einzelnen Failover-Gruppen im aktiven Zustand angezeigt werden, wenn die Einheiten gleichzeitig booten. Für jede Failover-Gruppe in der Konfiguration wird eine bevorzugte primäre oder sekundäre Einheit konfiguriert. Sie können beide Failover-Gruppen auf einer Einheit des Paars im aktiven Status konfigurieren, während die andere Einheit die Failover-Gruppen im Standby-Status enthält. Eine typischere Konfiguration besteht jedoch darin, jeder Failover-Gruppe eine andere Rollenpräferenz zuzuweisen, damit jede Gruppe auf einer anderen Einheit aktiv ist und den Datenverkehr auf die Geräte verteilt.

    Hinweis: Die Sicherheits-Appliance bietet keine Services für den Lastenausgleich. Der Lastenausgleich muss von einem Router vorgenommen werden, der den Datenverkehr an die Security Appliance weiterleitet.

Wie dargestellt, an welcher Einheit die einzelnen Failover-Gruppen aktiv werden

  • Wenn eine Einheit bootet, die Peer-Einheit jedoch nicht verfügbar ist, werden beide Failover-Gruppen auf der Einheit aktiv.

  • Wenn eine Einheit gestartet wird, während die Peer-Einheit aktiv ist (wobei sich beide Failover-Gruppen im aktiven Zustand befinden), bleiben die Failover-Gruppen im aktiven Zustand der aktiven Einheit, unabhängig von der primären oder sekundären Präferenz der Failover-Gruppe, bis zu einem der folgenden Schritte:

    • Ein Failover tritt auf.

    • Mit dem Befehl no failover active zwingen Sie die Failover-Gruppe manuell auf die andere Einheit.

    • Sie haben die Failover-Gruppe mit dem Befehl preempt konfiguriert, der bewirkt, dass die Failover-Gruppe automatisch auf der bevorzugten Einheit aktiviert wird, sobald die Einheit verfügbar ist.

  • Wenn beide Einheiten gleichzeitig booten, wird jede Failover-Gruppe auf der bevorzugten Einheit aktiviert, nachdem die Konfigurationen synchronisiert wurden.

Geräteinitialisierung und Konfigurationssynchronisierung

Die Konfigurationssynchronisierung erfolgt, wenn eine oder beide Einheiten eines Failover-Paars booten. Die Konfigurationen werden wie folgt synchronisiert:

  • Wenn eine Einheit bootet, während die Peer-Einheit aktiv ist (wobei beide Failover-Gruppen aktiv sind), kontaktiert die Boot-Einheit die aktive Einheit, um die laufende Konfiguration zu erhalten, unabhängig von der primären oder sekundären Bezeichnung der Boot-Einheit.

  • Wenn beide Einheiten gleichzeitig booten, erhält die sekundäre Einheit die aktuelle Konfiguration von der primären Einheit.

Wenn die Replikation gestartet wird, zeigt die Konsole der Sicherheits-Appliance auf der Einheit, die die Konfiguration sendet, die Meldung "Beginn der Konfigurationsreplikation: An MATE senden". Nach Abschluss dieses Vorgangs zeigt die Sicherheits-Appliance die Meldung "End Configuration Replication to MATE" (Konfigurationsreplikation beenden) an. Während der Replikation werden die auf der Einheit, die die Konfiguration sendet, eingegebenen Befehle möglicherweise nicht ordnungsgemäß auf der Peer-Einheit repliziert, und die auf der Einheit, die die Konfiguration empfängt, eingegebenen Befehle können durch die empfangene Konfiguration überschrieben werden. Vermeiden Sie die Eingabe von Befehlen für beide Geräte im Failover-Paar während des Konfigurations-Replikationsprozesses. Je nach Größe der Konfiguration kann die Replikation zwischen wenigen Sekunden und mehreren Minuten dauern.

Auf der Einheit, die die Konfiguration empfängt, ist die Konfiguration nur im laufenden Speicher vorhanden. Um die Konfiguration nach der Synchronisierung im Flash-Speicher zu speichern, geben Sie den Befehl write memory all im Systemausführungsumfang der Einheit ein, die über die Failover-Gruppe 1 im aktiven Zustand verfügt. Der Befehl wird auf die Peer-Einheit repliziert, die ihre Konfiguration in den Flash-Speicher schreibt. Wenn Sie mit diesem Befehl das Schlüsselwort all verwenden, werden das System und alle Kontextkonfigurationen gespeichert.

Hinweis: Auf die auf externen Servern gespeicherten Startkonfigurationen kann von jedem Gerät über das Netzwerk zugegriffen werden. Sie müssen nicht für jedes Gerät separat gespeichert werden. Alternativ können Sie die Kontextkonfigurationsdateien von der Festplatte auf der primären Einheit auf einen externen Server kopieren und dann auf die Festplatte auf der sekundären Einheit kopieren, wo sie verfügbar werden, wenn die Einheit neu geladen wird.

Befehlsreplikation

Nachdem beide Einheiten ausgeführt werden, werden die Befehle von einer Einheit zur anderen repliziert, wie dargestellt:

  • In einem Sicherheitskontext eingegebene Befehle werden von der Einheit, auf der der Sicherheitskontext im aktiven Zustand erscheint, an die Peer-Einheit repliziert.

    Anmerkung:  wird im aktiven Zustand einer Einheit betrachtet, wenn sich die Failover-Gruppe, der sie angehört, im aktiven Zustand dieser Einheit befindet.

  • Befehle, die im System-Ausführungsbereich eingegeben werden, werden von der Einheit, auf der sich die Failover-Gruppe 1 im aktiven Zustand befindet, zu der Einheit repliziert, auf der sich die Failover-Gruppe 1 im Standby-Zustand befindet.

  • Im Admin-Kontext eingegebene Befehle werden von der Einheit, auf der sich die Failover-Gruppe 1 im aktiven Zustand befindet, zu der Einheit repliziert, auf der sich die Failover-Gruppe 1 im Standby-Zustand befindet.

Alle Konfigurations- und Dateibefehle (Kopieren, Umbenennen, Löschen, mkdir, rmdir usw.) werden mit den folgenden Ausnahmen repliziert. Die Befehle show, debug, mode, firewall und failover lan unit werden nicht repliziert.

Wenn die Befehle nicht auf der entsprechenden Einheit eingegeben werden, um eine Befehlsreplikation zu ermöglichen, werden die Konfigurationen nicht synchronisiert. Diese Änderungen gehen möglicherweise bei der nächsten Synchronisierung der Erstkonfiguration verloren.

Sie können den write standby-Befehl verwenden, um Konfigurationen zu re-synchronisieren, die nicht mehr synchronisiert sind. Bei Active/Active Failover verhält sich der Write Standby-Befehl wie folgt:

  • Wenn Sie den Befehl write standby im Systemausführungsumfang eingeben, werden die Systemkonfiguration und die Konfigurationen für alle Sicherheitskontexte auf der Sicherheits-Appliance auf die Peer-Einheit geschrieben. Dazu gehören auch Konfigurationsinformationen für Sicherheitskontexte, die sich im Standby-Zustand befinden. Sie müssen den Befehl im Bereich für die Systemausführung auf der Einheit eingeben, die über Failover-Gruppe 1 im aktiven Zustand verfügt.

    Hinweis: Wenn auf der Peer-Einheit Sicherheitskontexte im aktiven Zustand vorhanden sind, werden aktive Verbindungen durch den Befehl write standby beendet. Verwenden Sie den Befehl failover active auf dem Gerät, das die Konfiguration bereitstellt, um sicherzustellen, dass alle Kontexte auf diesem Gerät aktiv sind, bevor Sie den Befehl write standby eingeben.

  • Wenn Sie den Befehl write standby in einem Sicherheitskontext eingeben, wird nur die Konfiguration für den Sicherheitskontext auf die Peer-Einheit geschrieben. Sie müssen den Befehl im Sicherheitskontext auf der Einheit eingeben, auf der der Sicherheitskontext im aktiven Zustand angezeigt wird.

Replizierte Befehle werden nicht im Flash-Speicher gespeichert, wenn sie auf die Peer-Einheit repliziert werden. Sie werden der aktuellen Konfiguration hinzugefügt. Um replizierte Befehle auf beiden Geräten im Flash-Speicher zu speichern, verwenden Sie den Befehl write memory oder copy running-config startup-config auf der Einheit, an der Sie die Änderungen vorgenommen haben. Der Befehl wird auf die Peer-Einheit repliziert und veranlasst, dass die Konfiguration im Flash-Speicher der Peer-Einheit gespeichert wird.

Failover-Trigger

Bei Aktiv/Aktiv-Failover kann der Failover auf Geräteebene ausgelöst werden, wenn eines der folgenden Ereignisse eintritt:

  • Hardwarefehler im Gerät.

  • Das Gerät weist einen Stromausfall auf.

  • Die Einheit weist einen Softwarefehler auf.

  • Der Befehl no failover active oder failover active wird in den Ausführungsbereich des Systems eingegeben.

Failover wird auf Ebene der Failover-Gruppe ausgelöst, wenn eines der folgenden Ereignisse eintritt:

  • Zu viele überwachte Schnittstellen in der Gruppe sind fehlerhaft.

  • Der Befehl no failover active group_id or failover active group_id wird eingegeben.

Failover-Aktionen

In einer Aktiv/Aktiv-Failover-Konfiguration erfolgt das Failover auf Failover-Gruppenbasis und nicht auf Systembasis. Wenn Sie beispielsweise beide Failover-Gruppen als aktiv auf der primären Einheit festlegen und Failover-Gruppe 1 ausfällt, bleibt Failover-Gruppe 2 auf der primären Einheit aktiv, während Failover-Gruppe 1 auf der sekundären Einheit aktiv wird.

Hinweis: Stellen Sie bei der Konfiguration des Aktiv/Aktiv-Failovers sicher, dass der kombinierte Datenverkehr für beide Einheiten innerhalb der Kapazität der einzelnen Einheiten liegt.

Diese Tabelle zeigt die Failover-Aktion für jedes Fehlerereignis. Für jedes Fehlerereignis werden die Richtlinie (ob Failover auftritt oder nicht), Aktionen für die aktive Failover-Gruppe und Aktionen für die Standby-Failover-Gruppe angegeben.

Fehlerereignis Richtlinie Aktion der aktiven Gruppe Standby-Gruppenaktion Hinweise
Stromversorgungs- oder Softwareausfall bei einem Gerät Failover Als ausgefallen markieren Standby-Modus Aktiv als fehlgeschlagen markieren Wenn eine Einheit in einem Failover-Paar ausfällt, werden alle aktiven Failover-Gruppen auf dieser Einheit als ausgefallen markiert und auf der Peer-Einheit aktiviert.
Schnittstellenfehler in aktiver Failover-Gruppe oberhalb des Grenzwerts Failover Aktive Gruppe als fehlerhaft markieren Werden Sie aktiv None
Schnittstellenfehler in Standby-Failover-Gruppe oberhalb des Grenzwerts Kein Failover Keine Aktion Standby-Gruppe als fehlerhaft markieren Wenn die Standby-Failover-Gruppe als ausgefallen markiert ist, versucht die aktive Failover-Gruppe kein Failover, selbst wenn der Schwellenwert für Schnittstellenausfälle überschritten wird.
Früher aktive Failover-Gruppe wird wiederhergestellt Kein Failover Keine Aktion Keine Aktion Wenn der Befehl preempt nicht konfiguriert wurde, bleiben die Failover-Gruppen auf ihrer aktuellen Einheit aktiv.
Failover-Verbindung beim Start fehlgeschlagen Kein Failover Werden Sie aktiv Werden Sie aktiv Wenn die Failover-Verbindung beim Start ausfällt, werden beide Failover-Gruppen auf beiden Geräten aktiviert.
Stateful Failover-Verbindung fehlgeschlagen Kein Failover Keine Aktion Keine Aktion Statusinformationen sind nicht mehr aktuell, und Sitzungen werden beendet, wenn ein Failover auftritt.
Failover-Verbindung während des Betriebs fehlgeschlagen Kein Failover Jede Einheit markiert die Failover-Schnittstelle als ausgefallen. Sie sollten die Failover-Verbindung so schnell wie möglich wiederherstellen, da bei einem Ausfall der Failover-Verbindung kein Failover zum Standby-Gerät möglich ist.

Reguläres und Stateful Failover

Die Security Appliance unterstützt zwei Arten von Failover: regulär und Stateful. Dieser Abschnitt behandelt folgende Themen:

Reguläres Failover

Bei einem Failover werden alle aktiven Verbindungen getrennt. Clients müssen Verbindungen wiederherstellen, wenn die neue aktive Einheit übernommen wird.

Stateful Failover

Wenn die Stateful Failover-Funktion aktiviert ist, leitet das aktive Gerät Informationen zum Status pro Verbindung kontinuierlich an das Standby-Gerät weiter. Nach einem Failover sind die gleichen Verbindungsinformationen an der neuen aktiven Einheit verfügbar. Unterstützte Endbenutzeranwendungen müssen nicht erneut eine Verbindung herstellen, um dieselbe Kommunikationssitzung aufrechtzuerhalten.

Die an die Standby-Einheit weitergeleiteten Statusinformationen umfassen Folgendes:

  • Die NAT-Übersetzungstabelle

  • Der TCP-Verbindungsstatus

  • Status der UDP-Verbindung

  • Die ARP-Tabelle

  • Die Layer-2-Bridge-Tabelle (bei Ausführung im transparenten Firewall-Modus)

  • HTTP-Verbindungsstatus (bei aktivierter HTTP-Replikation)

  • Die ISAKMP- und IPSec-SA-Tabelle

  • Die GTP PDP-Verbindungsdatenbank

Die Informationen, die bei aktiviertem Stateful Failover nicht an das Standby-Gerät weitergeleitet werden, sind wie folgt:

  • Die HTTP-Verbindungstabelle (sofern die HTTP-Replikation nicht aktiviert ist)

  • Die Benutzerauthentifizierungstabelle (uauth)

  • Die Routing-Tabellen

  • Statusinformationen zu Sicherheitsdienstmodulen

Anmerkung:  Wenn innerhalb einer aktiven Cisco IP SoftPhone-Sitzung ein Failover auftritt, bleibt der Anruf aktiv, da die Informationen zum Anrufsitzungsstatus auf die Standby-Einheit repliziert werden. Wenn der Anruf beendet wird, wird die Verbindung zwischen dem IP-SoftPhone-Client und dem Call Manager unterbrochen. Dies liegt daran, dass keine Sitzungsinformationen für die CTIQBE-Aufhängenachricht auf dem Standby-Gerät vorhanden sind. Wenn der IP-Softphone-Client innerhalb eines bestimmten Zeitraums keine Antwort vom Call Manager erhält, hält er den Call Manager für nicht erreichbar und hebt die Registrierung auf.

Einschränkungen der Failover-Konfiguration

Sie können Failover nicht mit den folgenden IP-Adresstypen konfigurieren:

  • IP-Adressen über DHCP

  • Über PPPoE erhaltene IP-Adressen

  • IPv6-Adressen

Außerdem gelten die folgenden Einschränkungen:

  • Stateful Failover wird auf der Adaptive Security Appliance der Serie ASA 5505 nicht unterstützt.

  • Aktiv/Aktiv-Failover wird auf der Adaptive Security Appliance der Serie ASA 5505 nicht unterstützt.

  • Wenn Easy VPN Remote auf der Adaptive Security Appliance ASA 5505 aktiviert ist, können Sie kein Failover konfigurieren.

  • VPN-Failover wird im Multiple-Context-Modus nicht unterstützt.

Nicht unterstützte Funktionen

Der Multiple-Context-Modus unterstützt diese Funktionen nicht:

  • Dynamische Routing-Protokolle

    Sicherheitskontexte unterstützen nur statische Routen. Sie können OSPF oder RIP nicht im Multiple-Context-Modus aktivieren.

  • VPN

  • Multicast

Kabelbasierte Aktiv/Aktiv-Failover-Konfiguration

Voraussetzungen

Bevor Sie beginnen, überprüfen Sie Folgendes:

  • Beide Einheiten verfügen über die gleiche Hardware, Softwarekonfiguration und korrekte Lizenz.

  • Beide Geräte sind im gleichen Modus (Einzel- oder Mehrfachmodus, transparent oder geroutet).

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

pix-activeactive-config1.gif

Führen Sie die folgenden Schritte aus, um den Aktiv/Aktiv-Failover mithilfe eines seriellen Kabels als Failover-Verbindung zu konfigurieren. Die Befehle in dieser Aufgabe werden auf der primären Einheit des Failover-Paars eingegeben. Die primäre Einheit ist die Einheit, an die das Ende des Kabels mit der Bezeichnung "Primär" angeschlossen ist. Bei Geräten im Multiple-Context-Modus werden die Befehle, sofern nichts anderes vermerkt ist, in den Ausführungsbereich des Systems eingegeben.

Wenn Sie ein kabelbasiertes Failover verwenden, müssen Sie die sekundäre Einheit des Failover-Paars nicht booten. Lassen Sie die Sekundäreinheit ausgeschaltet, bis Sie dazu aufgefordert werden, sie einzuschalten.

Hinweis: Kabelbasiertes Failover ist nur auf der Security Appliance der Serie PIX 500 verfügbar.

Gehen Sie wie folgt vor, um ein kabelbasiertes Aktiv/Aktiv-Failover zu konfigurieren:

  1. Schließen Sie das Failover-Kabel an die Security Appliances der Serie PIX 500 an. Stellen Sie sicher, dass Sie das Ende des Kabels mit der Kennzeichnung "Primary" (Primär) an das Gerät anschließen, das Sie als Primäreinheit verwenden, und dass Sie das Ende des Kabels mit der Kennzeichnung "Secondary" (Sekundär) an das Gerät anschließen, das Sie als Sekundäreinheit verwenden.

  2. Schalten Sie die primäre Einheit ein.

  3. Falls noch nicht geschehen, konfigurieren Sie die aktiven und Standby-IP-Adressen für jede Datenschnittstelle (gerouteter Modus), für die Management-IP-Adresse (transparenter Modus) oder für die reine Management-Schnittstelle. Die Standby-IP-Adresse wird auf der Sicherheits-Appliance verwendet, die derzeit die Standby-Appliance ist. Sie muss sich im gleichen Subnetz wie die aktive IP-Adresse befinden.

    Sie müssen die Schnittstellenadressen aus jedem Kontext heraus konfigurieren. Verwenden Sie den Befehl changeto context, um zwischen Kontexten zu wechseln. Die Eingabeaufforderung ändert sich in hostname/context(config-if)#, wobei context der Name des aktuellen Kontexts ist. Sie müssen eine Management-IP-Adresse für jeden Kontext im transparenten Firewall-Multiple-Context-Modus eingeben.

    Hinweis: Konfigurieren Sie keine IP-Adresse für die Stateful Failover-Verbindung, wenn Sie eine dedizierte Stateful Failover-Schnittstelle verwenden. Mit dem Befehl failover interface ip können Sie in einem späteren Schritt eine dedizierte Stateful Failover-Schnittstelle konfigurieren.

    hostname/context(config-if)#ip address active_addr netmask 
                                   standby standby_addr

    Im Beispiel wird die externe Schnittstelle für context1 des primären PIX folgendermaßen konfiguriert:

    PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0 
                                    standby 172.16.1.2

    Für Context2:

    PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0 
                                       standby 192.168.2.2

    Im Routing-Firewall-Modus und für die reine Management-Schnittstelle wird dieser Befehl für jede Schnittstelle in den Schnittstellenkonfigurationsmodus eingegeben. Im transparenten Firewall-Modus wird der Befehl in den globalen Konfigurationsmodus eingegeben.

  4. Um Stateful Failover zu aktivieren, konfigurieren Sie die Stateful Failover-Verbindung.

    1. Geben Sie die Schnittstelle an, die als Stateful Failover-Verbindung verwendet werden soll:

      hostname(config)#failover link if_name phy_if

      In diesem Beispiel wird die Ethernet2-Schnittstelle verwendet, um die Statusinformationen der Stateful Failover-Verbindung auszutauschen.

      failover link stateful Ethernet2

      Das Argument if_name weist der durch das Argument phy_if angegebenen Schnittstelle einen logischen Namen zu. Das Argument phy_if kann der Name des physischen Ports sein, z. B. Ethernet1, oder eine zuvor erstellte Subschnittstelle, z. B. Ethernet0/2.3. Diese Schnittstelle sollte für keinen anderen Zweck verwendet werden (außer optional der Failover-Verbindung).

    2. Weisen Sie der Stateful Failover-Verbindung eine aktive und eine Standby-IP-Adresse zu:

      hostname(config)#failover interface ip if_name ip_addr 
                               mask standby ip_addr

      In diesem Beispiel wird 10.0.0.1 als aktive und 10.0.0.2 als Standby-IP-Adresse für die Stateful Failover-Verbindung verwendet.

      PIX1(config)#failover interface ip stateful 10.0.0.1 
                    255.255.255.0 standby 10.0.0.2

      Die Standby-IP-Adresse muss sich im gleichen Subnetz wie die aktive IP-Adresse befinden. Sie müssen die Subnetzmaske der Standby-IP-Adresse nicht identifizieren.

      Die IP-Adresse und die MAC-Adresse der Stateful Failover-Verbindung ändern sich beim Failover nicht, es sei denn, Stateful Failover verwendet eine reguläre Datenschnittstelle. Die aktive IP-Adresse bleibt immer bei der primären Einheit, während die Standby-IP-Adresse bei der sekundären Einheit bleibt.

    3. Aktivieren Sie die Schnittstelle:

      hostname(config)#interface phy_if

hostname(config-if)#no shutdown

  5. Konfigurieren Sie die Failovergruppen. Es können maximal zwei Failover-Gruppen vorhanden sein. Mit dem Befehl failover group wird die angegebene Failover-Gruppe erstellt, wenn sie nicht vorhanden ist. Der Befehl wechselt in den Konfigurationsmodus für die Failover-Gruppe.

    Geben Sie für jede Failover-Gruppe mit dem Befehl primary oder sekundär an, ob die Failover-Gruppe über eine primäre oder eine sekundäre Einstellung verfügt. Sie können beiden Failover-Gruppen dieselbe Einstellung zuweisen. Für Lastenausgleichskonfigurationen sollten Sie jeder Failover-Gruppe eine andere Einheitenvoreinstellung zuweisen.

    Im folgenden Beispiel wird der Failover-Gruppe 1 eine primäre und der Failover-Gruppe 2 eine sekundäre Priorität zugewiesen:

    hostname(config)#failover group 1
hostname(config-fover-group)#primary
hostname(config-fover-group)#exit
hostname(config)#failover group 2
hostname(config-fover-group)#secondary
hostname(config-fover-group)#exit

  6. Weisen Sie jeden Benutzerkontext einer Failovergruppe mithilfe des Befehls join-failover-group im Kontextkonfigurationsmodus zu.

    Nicht zugewiesene Kontexte werden automatisch der Failovergruppe 1 zugewiesen. Der Admin-Kontext ist immer Mitglied der Failovergruppe 1.

    Geben Sie die folgenden Befehle ein, um jeden Kontext einer Failover-Gruppe zuzuweisen:

    hostname(config)#context context_name

hostname(config-context)#join-failover-group {1 | 2}
hostname(config-context)#exit

  7. Failover aktivieren:

    hostname(config)#failover

  8. Schalten Sie die Sekundäreinheit ein, und aktivieren Sie Failover, wenn diese nicht bereits aktiviert ist:

    hostname(config)#failover

    Die aktive Einheit sendet die Konfiguration im laufenden Speicher an die Standby-Einheit. Während der Synchronisierung der Konfiguration wird die Meldung "Beginn der Konfigurationsreplikation: Senden an MATE" und "End Configuration Replication to MATE" werden auf der primären Konsole angezeigt.

    Hinweis: Geben Sie den Befehl failover zuerst für das primäre Gerät und dann für das sekundäre Gerät ein. Nachdem Sie den Failover-Befehl auf dem sekundären Gerät ausgegeben haben, ruft das sekundäre Gerät sofort die Konfiguration vom primären Gerät ab und setzt sich in den Standby-Modus. Die primäre ASA bleibt aktiv, leitet den Datenverkehr normal weiter und markiert sich selbst als aktives Gerät. Von diesem Zeitpunkt an wird das Standby-Gerät aktiviert, wenn am aktiven Gerät ein Fehler auftritt.

  9. Speichern Sie die Konfiguration auf der primären Einheit als Flash-Speicher. Da die auf der primären Einheit eingegebenen Befehle auf der sekundären Einheit repliziert werden, speichert die sekundäre Einheit ihre Konfiguration auch im Flash-Speicher.

    hostname(config)#copy running-config startup-config

  10. Setzen Sie ggf. alle Failover-Gruppen, die auf dem primären Gerät aktiv sind, auf den aktiven Status auf dem sekundären Gerät. Um zu erzwingen, dass eine Failover-Gruppe auf der sekundären Einheit aktiviert wird, führen Sie den folgenden Befehl im Systemausführungsumfang der primären Einheit aus:

    hostname#no failover active group group_id

    Das Argument group_id gibt die Gruppe an, die auf der sekundären Einheit aktiv werden soll.

Konfigurationen

In diesem Dokument werden folgende Konfigurationen verwendet:

PIX1 - Systemkonfiguration 
PIX1#show running-config
: Saved
PIX Version 7.2(2) 
!
hostname PIX1
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto


!--- Enable the physical and logical interfaces in the system execution !--- space by giving "no shutdown" before configuring the same in the contexts

!
interface Ethernet0
!
interface Ethernet0.1
 vlan 2
!
interface Ethernet0.2
 vlan 4
!
interface Ethernet1
!
interface Ethernet1.1
 vlan 3
!
interface Ethernet1.2
 vlan 5
!

!--- Configure "no shutdown" in the stateful failover interface !--- of both Primary and secondary PIX.

interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 shutdown
!
interface Ethernet4
 shutdown
!
interface Ethernet5
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24

!--- Command to enable the failover feature

failover

!--- Command to assign the interface for stateful failover

failover link stateful Ethernet2

!--- Command to configure the active and standby IP's for the !--- stateful failover

failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2

!--- Configure the group 1 as primary

failover group 1

!--- Configure the group 1 as secondary

failover group 2
  secondary
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  config-url flash:/admin.cfg
!

!--- Command to create a context called "context1"

context context1

!--- Command to allocate the logical interfaces to the contexts

  allocate-interface Ethernet0.1 inside_context1
  allocate-interface Ethernet1.1 outside_context1
  config-url flash:/context1.cfg

!--- Assign this context to the failover group 1

  join-failover-group 1
!

context context2
  allocate-interface Ethernet0.2 inside_context2
  allocate-interface Ethernet1.2 outside_context2
  config-url flash:/context2.cfg
  join-failover-group 2
!

prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

PIX1 - Context1-Konfiguration 
PIX1/context1(config)#show running-config
: Saved
:
PIX Version 7.2(2) 
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside_context1
 nameif inside
 security-level 100

!--- Configure the active and standby IP's for the logical inside !--- interface of the context1.

 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!
interface outside_context1
 nameif outside
 security-level 0

!--- Configure the active and standby IP's for the logical outside !--- interface of the context1.

 ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list 100 extended permit tcp any host 172.16.1.1 eq www
pager lines 24
mtu inside 1500
mtu outside 1500
monitor-interface inside
monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (inside,outside) 172.16.1.1 192.168.1.5 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

PIX1 - Context2-Konfiguration 
PIX1/context2(config)#show running-config
: Saved
:
PIX Version 7.2(2) 
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside_context2
 nameif inside
 security-level 100

!--- Configure the active and standby IP's for the logical inside !--- interface of the context2.

 ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
!
interface outside_context2
 nameif outside
 security-level 0

!--- Configure the active and standby IP's for the logical outside !--- interface of the context2.

 ip address 172.16.2.1 255.255.255.0 standby 172.16.2.2
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list 100 extended permit tcp any host 172.16.2.1 eq www
pager lines 24
mtu inside 1500
mtu outside 1500
monitor-interface inside
monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (inside,outside) 172.16.2.1 192.168.2.5 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.2.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

LAN-basierte Aktiv/Aktiv-Failover-Konfiguration

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

pix-activeactive-config2.gif

In diesem Abschnitt wird beschrieben, wie Sie Aktiv/Aktiv-Failover mithilfe einer Ethernet-Failover-Verbindung konfigurieren. Wenn Sie LAN-basiertes Failover konfigurieren, müssen Sie das sekundäre Gerät booten, um die Failover-Verbindung zu erkennen, bevor das sekundäre Gerät die aktuelle Konfiguration vom primären Gerät abrufen kann.

Hinweis: Anstatt ein Crossover-Ethernet-Kabel zur direkten Verbindung der Einheiten zu verwenden, empfiehlt Cisco die Verwendung eines dedizierten Switches zwischen der primären und sekundären Einheit.

In diesem Abschnitt werden die folgenden Themen behandelt:

Konfiguration der primären Einheit

Gehen Sie wie folgt vor, um die primäre Einheit in einer Aktiv/Aktiv-Failover-Konfiguration zu konfigurieren:

  1. Falls noch nicht geschehen, konfigurieren Sie die aktiven und Standby-IP-Adressen für jede Datenschnittstelle (gerouteter Modus), für die Management-IP-Adresse (transparenter Modus) oder für die reine Management-Schnittstelle. Die Standby-IP-Adresse wird auf der Sicherheits-Appliance verwendet, die derzeit die Standby-Appliance ist. Sie muss sich im gleichen Subnetz wie die aktive IP-Adresse befinden.

    Sie müssen die Schnittstellenadressen aus jedem Kontext heraus konfigurieren. Verwenden Sie den Befehl changeto context, um zwischen Kontexten zu wechseln. Die Eingabeaufforderung wird in hostname/context(config-if)# geändert, wobei context der Name des aktuellen Kontexts ist. Im transparenten Firewall-Modus müssen Sie für jeden Kontext eine Management-IP-Adresse eingeben.

    Hinweis: Konfigurieren Sie keine IP-Adresse für die Stateful Failover-Verbindung, wenn Sie eine dedizierte Stateful Failover-Schnittstelle verwenden. Mit dem Befehl failover interface ip können Sie in einem späteren Schritt eine dedizierte Stateful Failover-Schnittstelle konfigurieren.

    hostname/context(config-if)#ip address active_addr netmask 
                                   standby standby_addr

    Im Beispiel wird die externe Schnittstelle für context1 des primären PIX folgendermaßen konfiguriert:

    PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0 
                                     standby 172.16.1.2

    Für Context2:

    PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0 
                                     standby 192.168.2.2

    Im Routing-Firewall-Modus und für die reine Management-Schnittstelle wird dieser Befehl für jede Schnittstelle in den Schnittstellenkonfigurationsmodus eingegeben. Im transparenten Firewall-Modus wird der Befehl in den globalen Konfigurationsmodus eingegeben.

  2. Konfigurieren Sie die grundlegenden Failover-Parameter im Bereich für die Systemausführung.

    1. (Nur PIX Security Appliance) LAN-basiertes Failover aktivieren:

      hostname(config)#failover lan enable

    2. Bestimmen Sie die Einheit als primäre Einheit:

      hostname(config)#failover lan unit primary

    3. Legen Sie die Failover-Verbindung fest:

      hostname(config)#failover lan interface if_name phy_if

      In diesem Beispiel wird die Schnittstelle Ethernet 3 als LAN-basierte Failover-Schnittstelle verwendet.

      PIX1(config)#failover lan interface LANFailover ethernet3

      Das Argument if_name weist der durch das Argument phy_if angegebenen Schnittstelle einen logischen Namen zu. Das Argument phy_if kann der Name des physischen Ports sein, z. B. Ethernet1, oder eine zuvor erstellte Subschnittstelle, z. B. Ethernet0/2.3. Auf der Adaptive Security Appliance ASA 5505 gibt phy_if ein VLAN an. Diese Schnittstelle sollte für keinen anderen Zweck verwendet werden (außer optional der Stateful Failover-Verbindung).

    4. Geben Sie die aktiven Failover-Verbindungen und die Standby-IP-Adressen an:

      hostname(config)#failover interface ip if_name ip_addr 
                               mask standby ip_addr

      Für dieses Beispiel wird 10.1.0.1 als aktive und 10.1.0.2 als Standby-IP-Adressen für die Failover-Schnittstelle verwendet.

      PIX1(config)#failover interface ip LANFailover 
      10.1.0.1 255.255.255.0 standby 10.1.0.2

      Die Standby-IP-Adresse muss sich im gleichen Subnetz wie die aktive IP-Adresse befinden. Sie müssen die Subnetzmaske der Standby-IP-Adresse nicht identifizieren. Die IP-Adresse und die MAC-Adresse der Failover-Verbindung ändern sich beim Failover nicht. Die aktive IP-Adresse bleibt immer bei der primären Einheit, während die Standby-IP-Adresse bei der sekundären Einheit bleibt.

  3. Um Stateful Failover zu aktivieren, konfigurieren Sie die Stateful Failover-Verbindung:

    1. Geben Sie die Schnittstelle an, die als Stateful Failover-Verbindung verwendet werden soll:

      hostname(config)#failover link if_name phy_if


      PIX1(config)#failover link stateful ethernet2

      Das Argument if_name weist der durch das Argument phy_if angegebenen Schnittstelle einen logischen Namen zu. Das Argument phy_if kann der Name des physischen Ports sein, z. B. Ethernet1, oder eine zuvor erstellte Subschnittstelle, z. B. Ethernet0/2.3. Diese Schnittstelle sollte für keinen anderen Zweck verwendet werden (außer optional der Failover-Verbindung).

      Hinweis: Wenn die Stateful Failover-Verbindung die Failover-Verbindung oder eine reguläre Datenschnittstelle verwendet, müssen Sie nur das if_name-Argument angeben.

    2. Weisen Sie der Stateful Failover-Verbindung eine aktive und eine Standby-IP-Adresse zu.

      Hinweis: Wenn die Stateful Failover-Verbindung die Failover-Verbindung oder eine reguläre Datenschnittstelle verwendet, überspringen Sie diesen Schritt. Sie haben bereits die aktiven und Standby-IP-Adressen für die Schnittstelle definiert.

      hostname(config)#failover interface ip if_name ip_addr 
                               mask standby ip_addr


      PIX1(config)#failover interface ip stateful 10.0.0.1 
                    255.255.255.0 standby 10.0.0.2

      Die Standby-IP-Adresse muss sich im gleichen Subnetz wie die aktive IP-Adresse befinden. Sie müssen die Subnetzmaske der Standby-Adresse nicht identifizieren. Die IP-Adresse und die MAC-Adresse der Zustandsverbindung ändern sich bei einem Failover nicht. Die aktive IP-Adresse bleibt immer bei der primären Einheit, während die Standby-IP-Adresse bei der sekundären Einheit bleibt.

    3. Aktivieren Sie die Schnittstelle.

      Hinweis: Wenn die Stateful Failover-Verbindung die Failover-Verbindung oder die reguläre Datenschnittstelle verwendet, überspringen Sie diesen Schritt. Sie haben die Schnittstelle bereits aktiviert.

      hostname(config)#interface phy_if

hostname(config-if)#no shutdown

  4. Konfigurieren Sie die Failovergruppen. Es können maximal zwei Failover-Gruppen vorhanden sein. Mit dem Befehl failover group wird die angegebene Failover-Gruppe erstellt, wenn sie nicht vorhanden ist. Der Befehl wechselt in den Konfigurationsmodus für die Failover-Gruppe.

    Geben Sie für jede Failover-Gruppe mithilfe des Befehls primary (primär) oder sekundär (sekundär) an, ob die Failover-Gruppe die primäre oder sekundäre Priorität hat. Sie können beiden Failover-Gruppen dieselbe Einstellung zuweisen. Für Lastenausgleichskonfigurationen sollten Sie jeder Failover-Gruppe eine andere Einheitenvoreinstellung zuweisen.

    Im folgenden Beispiel wird der Failover-Gruppe 1 eine primäre und der Failover-Gruppe 2 eine sekundäre Priorität zugewiesen:

    hostname(config)#failover group 1
hostname(config-fover-group)#primary
hostname(config-fover-group)#exit
hostname(config)#failover group 2
hostname(config-fover-group)#secondary
hostname(config-fover-group)#exit

  5. Weisen Sie jeden Benutzerkontext einer Failovergruppe mithilfe des Befehls join-failover-group im Kontextkonfigurationsmodus zu.

    Nicht zugewiesene Kontexte werden automatisch der Failovergruppe 1 zugewiesen. Der Admin-Kontext ist immer Mitglied der Failovergruppe 1.

    Geben Sie die folgenden Befehle ein, um jeden Kontext einer Failover-Gruppe zuzuweisen:

    hostname(config)#context context_name

hostname(config-context)#join-failover-group {1 | 2}
hostname(config-context)#exit

  6. Aktivieren Sie Failover.

    hostname(config)#failover

Konfiguration der Sekundäreinheit

Bei der Konfiguration eines LAN-basierten Aktiv/Aktiv-Failovers müssen Sie die Sekundäreinheit booten, um die Failover-Verbindung zu erkennen. Auf diese Weise kann die Sekundäreinheit mit der Primäreinheit kommunizieren und die aktuelle Konfiguration von dieser empfangen.

Führen Sie die folgenden Schritte aus, um die sekundäre Einheit in einer Aktiv/Aktiv-Failover-Konfiguration zu booten:

  1. (Nur PIX Security Appliance) LAN-basiertes Failover aktivieren.

    hostname(config)#failover lan enable

  2. Definieren der Failover-Schnittstelle Verwenden Sie die gleichen Einstellungen wie für die primäre Einheit:

    1. Geben Sie die Schnittstelle an, die als Failover-Schnittstelle verwendet werden soll.

      hostname(config)#failover lan interface if_name phy_if


      PIX1(config)#failover lan interface LANFailover ethernet3

      Das Argument if_name weist der durch das Argument phy_if angegebenen Schnittstelle einen logischen Namen zu. Das Argument phy_if kann der Name des physischen Ports sein, z. B. Ethernet1, oder eine zuvor erstellte Subschnittstelle, z. B. Ethernet0/2.3. Auf der Adaptive Security Appliance ASA 5505 gibt phy_if ein VLAN an.

    2. Weisen Sie der Failover-Verbindung die aktive und die Standby-IP-Adresse zu:

      hostname(config)#failover interface ip if_name ip_addr 
                               mask standby ip_addr


      PIX1(config)#failover interface ip LANFailover 10.1.0.1 
                       255.255.255.0 standby 10.1.0.2

      Hinweis: Geben Sie diesen Befehl genau so ein, wie Sie ihn bei der Konfiguration der Failover-Schnittstelle auf der primären Einheit eingegeben haben.

      Die Standby-IP-Adresse muss sich im gleichen Subnetz wie die aktive IP-Adresse befinden. Sie müssen die Subnetzmaske der Standby-Adresse nicht identifizieren.

    3. Aktivieren Sie die Schnittstelle.

      hostname(config)#interface phy_if

hostname(config-if)#no shutdown

  3. Diese Einheit als sekundäre Einheit kennzeichnen:

    hostname(config)#failover lan unit secondary

    Hinweis: Dieser Schritt ist optional, da Einheiten standardmäßig als sekundär gekennzeichnet sind, sofern zuvor keine andere Konfiguration vorgenommen wurde.

  4. Aktivieren Sie Failover.

    hostname(config)#failover

    Nachdem Sie Failover aktiviert haben, sendet die aktive Einheit die Konfiguration im laufenden Speicher an die Standby-Einheit. Bei der Synchronisierung der Konfiguration werden die Meldungen Beginn der Konfigurationsreplikation: Senden an MATE und End Configuration Replication to MATE wird auf der Konsole der aktiven Einheit angezeigt.

    Hinweis: Geben Sie den Befehl failover zuerst für das primäre Gerät und dann für das sekundäre Gerät ein. Nachdem Sie den Failover-Befehl auf dem sekundären Gerät ausgegeben haben, ruft das sekundäre Gerät sofort die Konfiguration vom primären Gerät ab und setzt sich in den Standby-Modus. Die primäre ASA bleibt aktiv, leitet den Datenverkehr normal weiter und markiert sich selbst als aktives Gerät. Von diesem Zeitpunkt an wird das Standby-Gerät aktiviert, wenn am aktiven Gerät ein Fehler auftritt.

  5. Wenn die Replikation der aktuellen Konfiguration abgeschlossen ist, geben Sie den folgenden Befehl ein, um die Konfiguration im Flash-Speicher zu speichern:

    hostname(config)#copy running-config startup-config

  6. Setzen Sie ggf. alle Failover-Gruppen, die auf dem primären Gerät aktiv sind, auf den aktiven Status auf dem sekundären Gerät. Um zu erzwingen, dass eine Failover-Gruppe auf der sekundären Einheit aktiviert wird, geben Sie diesen Befehl im Systemausführungsumfang der primären Einheit ein: 

    hostname#no failover active group group_id

    Das Argument group_id gibt die Gruppe an, die auf der sekundären Einheit aktiv werden soll.

Konfigurationen

In diesem Dokument werden folgende Konfigurationen verwendet:

Primär-PIX 
PIX1(config)#show running-config
: Saved
:
PIX Version 7.2(2) <system>
!
hostname PIX1
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0
!
interface Ethernet0.1
 vlan 2
!
interface Ethernet0.2
 vlan 4
!
interface Ethernet1
!
interface Ethernet1.1
 vlan 3
!
interface Ethernet1.2
 vlan 5
!

!--- Configure "no shutdown" in the stateful failover interface as well as !--- LAN Failover interface of both Primary and secondary PIX/ASA.

interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 description LAN Failover Interface
!
interface Ethernet4
 shutdown
!
interface Ethernet5
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
failover
failover lan unit primary

!--- Command to assign the interface for LAN based failover

failover lan interface LANFailover Ethernet3

!--- Command to enable the LAN based failover

failover lan enable

!--- Configure the Authentication/Encryption key

failover key *****
failover link stateful Ethernet2

!--- Configure the active and standby IP's for the LAN based failover

failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2
failover group 1
failover group 2
  secondary
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  config-url flash:/admin.cfg
!

context context1
  allocate-interface Ethernet0.1 inside_context1
  allocate-interface Ethernet1.1 outside_context1
  config-url flash:/context1.cfg
  join-failover-group 1
!

context context2
  allocate-interface Ethernet0.2 inside_context2
  allocate-interface Ethernet1.2 outside_context2
  config-url flash:/context2.cfg
  join-failover-group 2
!

prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Hinweis: Informationen zur Kontextkonfiguration in einem LAN-basierten Failover-Szenario finden Sie im Abschnitt zur kabelbasierten Failover-Konfiguration, PIX1 - Context1-Konfiguration und PIX1 - Context2-Konfiguration.

Sekundärer PIX 
PIX2#show running-config 

failover
failover lan unit secondary
failover lan interface LANFailover Ethernet3
failover lan enable
failover key *****
failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2

Überprüfung

Verwendung des Befehls show failover

In diesem Abschnitt wird die Ausgabe des Befehls show failover beschrieben. Mit dem Befehl show failover können Sie den Failover-Status jedes Geräts überprüfen.

Primär-PIX 

PIX1(config-subif)#show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: LANFailover Ethernet3 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 7.2(2), Mate 7.2(2)
Group 1 last failover at: 06:12:45 UTC Apr 16 2007
Group 2 last failover at: 06:12:43 UTC Apr 16 2007

  This host:    Primary
  Group 1       State:          Active
                Active time:    359610 (sec)
  Group 2       State:          Standby Ready
                Active time:    3165 (sec)

                  context1 Interface inside (192.168.1.1): Normal
                  context1 Interface outside (172.16.1.1): Normal
                  context2 Interface inside (192.168.2.2): Normal
                  context2 Interface outside (172.16.2.2): Normal

  Other host:   Secondary
  Group 1       State:          Standby Ready
                Active time:    0 (sec)
  Group 2       State:          Active
                Active time:    3900 (sec)

                  context1 Interface inside (192.168.1.2): Normal
                  context1 Interface outside (172.16.1.2): Normal
                  context2 Interface inside (192.168.2.1): Normal
                  context2 Interface outside (172.16.2.1): Normal

Stateful Failover Logical Update Statistics
        Link : stateful Ethernet2 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         48044      0          48040      1
        sys cmd         48042      0          48040      1
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         2          0          0          0
        Xlate_Timeout   0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       72081
        Xmit Q:         0       1       48044

Sekundärer PIX 

PIX1(config)#show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Secondary
Failover LAN Interface: LANFailover Ethernet3 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 7.2(2), Mate 7.2(2)
Group 1 last failover at: 06:12:46 UTC Apr 16 2007
Group 2 last failover at: 06:12:41 UTC Apr 16 2007

  This host:    Secondary
  Group 1       State:          Standby Ready
                Active time:    0 (sec)
  Group 2       State:          Active
                Active time:    3975 (sec)

                  context1 Interface inside (192.168.1.2): Normal
                  context1 Interface outside (172.16.1.2): Normal
                  context2 Interface inside (192.168.2.1): Normal
                  context2 Interface outside (172.16.2.1): Normal

  Other host:   Primary
  Group 1       State:          Active
                Active time:    359685 (sec)
  Group 2       State:          Standby Ready
                Active time:    3165 (sec)

                  context1 Interface inside (192.168.1.1): Normal
                  context1 Interface outside (172.16.1.1): Normal
                  context2 Interface inside (192.168.2.2): Normal
                  context2 Interface outside (172.16.2.2): Normal

Stateful Failover Logical Update Statistics
        Link : stateful Ethernet2 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         940        0          942        2
        sys cmd         940        0          940        2
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          2          0
        Xlate_Timeout   0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       1419
        Xmit Q:         0       1       940

Verwenden Sie den Befehl show failover state (Failover-Status anzeigen), um den Status zu überprüfen.

Primär-PIX 

PIX1(config)#show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
    Group 1    Active         None
    Group 2    Standby Ready  None
Other host -   Secondary
    Group 1    Standby Ready  None
    Group 2    Active         None

====Configuration State===
        Sync Done
====Communication State===
        Mac set

Sekundäre Einheit 

PIX1(config)#show failover state

               State          Last Failure Reason      Date/Time
This host  -   Secondary
    Group 1    Standby Ready  None
    Group 2    Active         None
Other host -   Primary
    Group 1    Active         None
    Group 2    Standby Ready  None

====Configuration State===
        Sync Done - STANDBY
====Communication State===
        Mac set

Um die IP-Adressen der Failover-Einheit zu überprüfen, verwenden Sie den Befehl show failover interface.

Primäre Einheit 

PIX1(config)#show failover interface
        interface stateful Ethernet2
                System IP Address: 10.0.0.1 255.255.255.0
                My IP Address    : 10.0.0.1
                Other IP Address : 10.0.0.2
        interface LANFailover Ethernet3
                System IP Address: 10.1.0.1 255.255.255.0
                My IP Address    : 10.1.0.1
                Other IP Address : 10.1.0.2

Sekundäre Einheit 

PIX1(config)#show failover interface
        interface LANFailover Ethernet3
                System IP Address: 10.1.0.1 255.255.255.0
                My IP Address    : 10.1.0.2
                Other IP Address : 10.1.0.1
        interface stateful Ethernet2
                System IP Address: 10.0.0.1 255.255.255.0
                My IP Address    : 10.0.0.2
                Other IP Address : 10.0.0.1

Ansicht der überwachten Schnittstellen

So zeigen Sie den Status der überwachten Schnittstellen an: Geben Sie im Einzelkontextmodus den Befehl show monitor-interface (Überwachungsschnittstelle anzeigen) im globalen Konfigurationsmodus ein. Geben Sie im Mehrfachkontextmodus die Option show monitor-interface innerhalb eines Kontexts ein.

Hinweis: Um die Integritätsüberwachung auf einer bestimmten Schnittstelle zu aktivieren, verwenden Sie den Befehl monitor-interface im globalen Konfigurationsmodus: 

monitor-interface <if_name>

Primär-PIX 

PIX1/context1(config)#show monitor-interface
        This host: Secondary - Active
                Interface inside (192.168.1.1): Normal
                Interface outside (172.16.1.1): Normal
        Other host: Secondary - Standby Ready
                Interface inside (192.168.1.2): Normal
                Interface outside (172.16.1.2): Normal

Sekundärer PIX 

PIX1/context1(config)#show monitor-interface
        This host: Secondary - Standby Ready
                Interface inside (192.168.1.2): Normal
                Interface outside (172.16.1.2): Normal
        Other host: Secondary - Active
                Interface inside (192.168.1.1): Normal
                Interface outside (172.16.1.1): Normal

Hinweis: Wenn Sie keine Failover-IP-Adresse eingeben, wird mit dem Befehl show failover (Failover anzeigen) 0.0.0.0 als IP-Adresse angezeigt, und die Überwachung der Schnittstellen bleibt im Status "Waiting". Sie müssen eine Failover-IP-Adresse festlegen, damit das Failover funktioniert. Weitere Informationen zu den verschiedenen Failover-Zuständen finden Sie unter show failover.

Die Überwachung von physischen Schnittstellen ist standardmäßig aktiviert, die Überwachung von Subschnittstellen deaktiviert.

Anzeige der Failover-Befehle in der aktuellen Konfiguration

Um die Failover-Befehle in der aktuellen Konfiguration anzuzeigen, geben Sie den folgenden Befehl ein: 

hostname(config)#show running-config failover

Alle Failover-Befehle werden angezeigt. Geben Sie für Einheiten, die im Mehrfachkontextmodus ausgeführt werden, den Befehl show running-config failover im Bereich für die Systemausführung ein. Geben Sie den Befehl show running-config all failover ein, um die Failover-Befehle in der aktuellen Konfiguration anzuzeigen, und fügen Sie Befehle ein, deren Standardwert Sie nicht geändert haben.

Failover-Funktionstests

So testen Sie die Failover-Funktionalität:

  1. Testen Sie, ob die aktive Einheit oder Failover-Gruppe den erwarteten Datenverkehr über FTP weiterleitet (z. B. zum Senden einer Datei zwischen Hosts an verschiedenen Schnittstellen).

  2. Mit dem folgenden Befehl wird ein Failover auf die Standby-Einheit erzwungen:

    • Geben Sie für Active/Active Failover (Aktiv/Aktiv-Failover) den folgenden Befehl auf der Einheit ein, auf der die Failover-Gruppe mit der Schnittstelle, die Ihre Hosts verbindet, aktiv ist: 

      hostname(config)#no failover active group group_id

  3. Verwenden Sie FTP, um eine weitere Datei zwischen denselben zwei Hosts zu senden.

  4. Wenn der Test nicht erfolgreich war, geben Sie den Befehl show failover ein, um den Failover-Status zu überprüfen.

  5. Wenn Sie fertig sind, können Sie den Status der Einheit oder Failover-Gruppe mit dem folgenden Befehl wiederherstellen:

    • Geben Sie für Active/Active Failover (Aktiv/Aktiv-Failover) den folgenden Befehl auf der Einheit ein, auf der die Failover-Gruppe mit der Schnittstelle, die Ihre Hosts verbindet, aktiv ist:

      hostname(config)#failover active group group_id

Erzwungenes Failover

Um die Aktivierung der Standby-Einheit zu erzwingen, geben Sie einen der folgenden Befehle ein:

Geben Sie den folgenden Befehl im System-Ausführungsbereich der Einheit ein, in der sich die Failover-Gruppe im Standby-Status befindet: 

hostname#failover active group group_id

Oder geben Sie diesen Befehl im Systemausführungsbereich der Einheit ein, in der sich die Failover-Gruppe im aktiven Zustand befindet:

hostname#no failover active group group_id

Wenn Sie diesen Befehl im Systemausführungsumfang eingeben, werden alle Failover-Gruppen aktiv: 

hostname#failover active

Failover deaktiviert

Um Failover zu deaktivieren, geben Sie den folgenden Befehl ein:

hostname(config)#no failover

Wenn Sie Failover für ein Aktiv/Standby-Paar deaktivieren, wird dadurch der Aktiv- und Standby-Status der einzelnen Einheiten beibehalten, bis Sie neu starten. Beispielsweise verbleibt das Standby-Gerät im Standby-Modus, sodass beide Geräte keinen Datenverkehr weiterleiten. Informationen zur Aktivierung der Standby-Einheit (auch bei deaktiviertem Failover) finden Sie im Abschnitt Erzwungenes Failover.

Wenn Sie Failover für ein Aktiv/Aktiv-Paar deaktivieren, bleiben die Failover-Gruppen im aktiven Zustand, unabhängig davon, für welche Einheit sie konfiguriert sind. Der Befehl no failover kann im Ausführungsbereich des Systems eingegeben werden.

Wiederherstellung einer ausgefallenen Einheit

Geben Sie den folgenden Befehl ein, um eine ausgefallene Active/Active-Failover-Gruppe in den Status "Nicht ausgefallen" zurückzusetzen: 

hostname(config)#failover reset group group_id

Wenn Sie eine ausgefallene Einheit in einen nicht ausgefallenen Zustand zurücksetzen, wird sie nicht automatisch aktiviert. Wiederhergestellte Einheiten oder Gruppen bleiben im Standby-Zustand, bis sie durch Failover aktiviert werden (erzwungen oder natürlich). Eine Ausnahme ist eine Failover-Gruppe, die mit dem Befehl preempt konfiguriert wurde. Wenn eine Failover-Gruppe zuvor aktiv war, wird sie aktiviert, wenn sie mit dem Befehl preempt konfiguriert wurde und wenn die Einheit, bei der der Fehler aufgetreten ist, die bevorzugte Einheit ist.

Ersetzen Sie die ausgefallene Einheit durch eine neue Einheit.

Gehen Sie wie folgt vor, um eine ausgefallene Einheit durch eine neue zu ersetzen:

  1. Führen Sie den Befehl no failover auf der primären Einheit aus.

    Der Status der Sekundäreinheit zeigt an, dass das Standby-Gerät nicht erkannt wurde.

  2. Ziehen Sie das Hauptgerät ab, und schließen Sie das Ersatzgerät an.

  3. Stellen Sie sicher, dass auf dem Ersatzgerät die gleiche Software- und ASDM-Version wie auf dem Sekundärgerät ausgeführt wird.

  4. Führen Sie die folgenden Befehle auf der Ersatzeinheit aus:

    ASA(config)#failover lan unit primary 
ASA(config)#failover lan interface failover Ethernet3
ASA(config)#failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
ASA(config)#interface Ethernet3
ASA(config-if)#no shut 
ASA(config-if)#exit

  5. Schließen Sie die primäre Ersatzeinheit an das Netzwerk an, und führen Sie den folgenden Befehl aus:

    ASA(config)#failover

Fehlerbehebung

Wenn ein Failover auftritt, senden beide Sicherheits-Appliances Systemmeldungen. Dieser Abschnitt behandelt folgende Themen:

  1. Failover-Systemmeldungen

  2. Nachrichten debuggen

  3. SNMP

Failover-Systemmeldungen

Die Sicherheits-Appliance gibt eine Reihe von Systemmeldungen zu Failover auf Prioritätsstufe 2 aus, was auf einen kritischen Zustand hinweist. Informationen zur Anzeige dieser Meldungen finden Sie in den Protokollkonfigurationen und Systemprotokollmeldungen der Cisco Security Appliance, um die Protokollierung zu aktivieren und Beschreibungen der Systemmeldungen anzuzeigen.

Hinweis: Bei einem Switchover wird die Failover-Funktion zunächst logisch heruntergefahren und dann die Schnittstellen aktiviert. Dadurch werden die Syslog-Meldungen 41001 und 41002 generiert. Dies ist normale Aktivität.

Primäre Failover-Kommunikation bei Verlust mit Partner auf Schnittstellenname

Diese Failover-Meldung wird angezeigt, wenn eine Einheit des Failover-Paars nicht mehr mit der anderen Einheit des Paars kommunizieren kann. Primary kann auch als Secondary für die Sekundäreinheit aufgeführt werden.

(Primär) Failover-Kommunikation mit Partner auf Schnittstellenname unterbrochen

Überprüfen Sie, ob das Netzwerk, das mit der angegebenen Schnittstelle verbunden ist, ordnungsgemäß funktioniert.

Nachrichten debuggen

Um Debug-Meldungen anzuzeigen, geben Sie den Befehl debug fover ein. Weitere Informationen finden Sie in der Befehlsreferenz zur Cisco Security Appliance, Version 7.2.

Hinweis: Da der Debugausgabe im CPU-Prozess eine hohe Priorität zugewiesen wird, kann dies die Systemleistung erheblich beeinträchtigen. Verwenden Sie daher die Befehle debug fover nur, um bestimmte Probleme zu beheben, oder verwenden Sie die Fehlerbehebungssitzungen des technischen Supports von Cisco.

SNMP

Um SNMP-Syslog-Traps für Failover zu empfangen, konfigurieren Sie den SNMP-Agenten so, dass er SNMP-Traps an SNMP-Verwaltungsstationen sendet, definieren Sie einen Syslog-Host, und kompilieren Sie die Cisco Syslog-MIB in Ihre SNMP-Verwaltungsstation. Weitere Informationen finden Sie unter den Befehlen snmp-server und logging in der Cisco Security Appliance-Befehlsreferenz, Version 7.2.

Failover-Abfragezeit

Um die Polling- und Haltezeiten der Failover-Einheit festzulegen, geben Sie den Befehl failover polltime im globalen Konfigurationsmodus ein.

Die Failover-Polltime-Einheit msec [time] stellt das Zeitintervall dar, in dem das Vorhandensein der Standby-Einheit durch das Polling von Hello-Nachrichten überprüft wird.

Ebenso stellt die Failoverhaltezeiteinheit msec [time] den Zeitraum dar, in dem eine Einheit eine Hello-Nachricht auf der Failoververbindung empfangen muss, nach dem die Peereinheit als ausgefallen deklariert wird.

Weitere Informationen finden Sie unter Failover Polltime.

Warnung: Fehler bei der Failover-Nachrichtenentschlüsselung.

Fehlermeldung:

Failover message decryption failure. Please make sure both units have the 
same failover shared key and crypto license or system is not out of memory

Dieses Problem tritt aufgrund der Failover-Schlüsselkonfiguration auf. Um dieses Problem zu beheben, entfernen Sie den Failoverschlüssel, und konfigurieren Sie den neuen freigegebenen Schlüssel.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
09-Apr-2007
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.