Für die Failover-Konfiguration sind zwei identische Security Appliances erforderlich, die über eine dedizierte Failover-Verbindung und optional eine Stateful Failover-Verbindung miteinander verbunden sind. Der Status der aktiven Schnittstellen und Einheiten wird überwacht, um festzustellen, ob bestimmte Failover-Bedingungen erfüllt sind. Wenn diese Bedingungen erfüllt sind, findet ein Failover statt.
Die Security Appliance unterstützt zwei Failover-Konfigurationen: Aktiv/Aktiv-Failover und Aktiv/Standby-Failover. Für jede Failover-Konfiguration gibt es eine eigene Methode zum Bestimmen und Durchführen eines Failovers. Bei Aktiv/Aktiv-Failover können beide Geräte den Netzwerkverkehr weiterleiten. Auf diese Weise können Sie den Lastenausgleich für Ihr Netzwerk konfigurieren. Active/Active Failover ist nur auf Geräten verfügbar, die im Multi-Context-Modus ausgeführt werden. Bei Aktiv/Standby-Failover leitet nur eine Einheit den Datenverkehr weiter, während die andere Einheit im Standby-Status wartet. Aktiv/Standby-Failover ist auf Geräten verfügbar, die im Einzel- oder Mehrfachkontextmodus ausgeführt werden. Beide Failover-Konfigurationen unterstützen Stateful- oder Stateless-Failover (regulär).
Der Schwerpunkt dieses Dokuments liegt auf der Konfiguration eines Aktiv/Aktiv-Failovers in der Cisco PIX/ASA Security Appliance.
Weitere Informationen zu den Active/Standby-Failover-Konfigurationen finden Sie im Konfigurationsbeispiel für PIX/ASA 7.x Active/Standby Failover.
Hinweis: VPN-Failover wird nicht auf Geräten unterstützt, die im Mehrfachkontextmodus ausgeführt werden, da VPN im Mehrfachkontextmodus nicht unterstützt wird. VPN-Failover ist nur für Aktiv/Standby-Failover-Konfigurationen in Einzelkontext-Konfigurationen verfügbar.
Dieser Konfigurationsleitfaden enthält eine Beispielkonfiguration mit einer kurzen Einführung in die PIX/ASA 7.x Active/Active-Technologie. In der Cisco Security Appliance Command Reference, Version 7.2 finden Sie eine genauere Beschreibung der dieser Technologie zugrunde liegenden Theorie.
Hardware-Anforderungen
Die Hardwarekonfiguration der beiden Geräte in einer Failover-Konfiguration muss identisch sein. Es muss sich um dasselbe Modell handeln, die gleiche Anzahl und die gleichen Schnittstellentypen und die gleiche RAM-Größe haben.
Hinweis: Die beiden Geräte benötigen nicht die gleiche Größe Flash-Speicher. Wenn Sie in Ihrer Failover-Konfiguration Einheiten mit unterschiedlichen Flash-Speichergrößen verwenden, stellen Sie sicher, dass die Einheit mit dem kleineren Flash-Speicher genügend Platz für die Software-Image-Dateien und die Konfigurationsdateien hat. Wenn dies nicht der Fall ist, schlägt die Konfigurationssynchronisierung vom Gerät mit dem größeren Flash-Speicher zum Gerät mit dem kleineren Flash-Speicher fehl.
Softwareanforderung
Die beiden Geräte einer Failover-Konfiguration müssen sich im Betriebsmodus befinden (geroutet oder transparent, mit einem oder mehreren Kontexten). Sie müssen die gleiche Haupt- (erste Nummer) und Nebenversion (zweite Nummer) der Software haben, Sie können jedoch verschiedene Versionen der Software innerhalb eines Upgrade-Prozesses verwenden. So können Sie beispielsweise ein Upgrade für eine Einheit von Version 7.0(1) auf Version 7.0(2) durchführen, während das Failover aktiv bleibt. Cisco empfiehlt zur Gewährleistung der langfristigen Kompatibilität ein Upgrade beider Systeme auf die gleiche Version.
Weitere Informationen zum Upgrade der Software für ein Failover-Paar finden Sie unter Performing Zero Downtime Upgrades for Failover Pairs (Durchführen von Upgrades ohne Ausfallzeiten für Failover-Paare).
Lizenzanforderungen
Auf der PIX/ASA Security Appliance-Plattform muss mindestens eine der Einheiten über eine uneingeschränkte (UR)-Lizenz verfügen. Die andere Einheit kann über eine Failover Only Active-Active (FO_AA)-Lizenz oder eine andere UR-Lizenz verfügen. Einheiten mit eingeschränkter Lizenz können nicht für Failover verwendet werden, und zwei Einheiten mit FO_AA-Lizenzen können nicht zusammen als Failover-Paar verwendet werden.
Hinweis: Möglicherweise müssen Sie die Lizenzen für ein Failover-Paar aktualisieren, um von zusätzlichen Funktionen und Vorteilen zu profitieren. Weitere Informationen zum Upgrade finden Sie unter Lizenzschlüssel-Upgrade bei einem Failover-Paar.
Hinweis: Die lizenzierten Funktionen, z. B. SSL VPN-Peers oder Sicherheitskontexte, auf beiden Sicherheits-Appliances, die an einem Failover teilnehmen, müssen identisch sein.
Hinweis: Die FO-Lizenz unterstützt kein Active/Active Failover.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
PIX Security Appliance mit Version 7.x und höher
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Diese Konfiguration kann auch mit den folgenden Hardware- und Softwareversionen verwendet werden:
ASA mit Version 7.x und höher
Hinweis: Aktiv/Aktiv-Failover ist auf der Adaptive Security Appliance der Serie ASA 5505 nicht verfügbar.
Weitere Informationen und Konventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
In diesem Abschnitt wird Aktiv/Standby-Failover beschrieben. Dabei werden folgende Themen behandelt:
Aktiv/Aktiv-Failover ist nur für Sicherheits-Appliances im Mehrfachkontextmodus verfügbar. In einer Aktiv/Aktiv-Failover-Konfiguration können beide Security Appliances Netzwerkverkehr weiterleiten.
Bei Aktiv/Aktiv-Failover teilen Sie die Sicherheitskontexte auf der Security Appliance in Failover-Gruppen auf. Eine Failover-Gruppe ist einfach eine logische Gruppe aus einem oder mehreren Sicherheitskontexten. Sie können maximal zwei Failover-Gruppen auf der Security Appliance erstellen. Der Admin-Kontext ist immer Mitglied der Failover-Gruppe 1. Nicht zugewiesene Sicherheitskontexte sind standardmäßig auch Mitglieder der Failover-Gruppe 1.
Die Failover-Gruppe bildet die Basiseinheit für Failover in Aktiv/Aktiv-Failover. Schnittstellenausfallüberwachung, Failover und Aktiv/Standby-Status sind Attribute einer Failover-Gruppe und nicht der Einheit. Wenn eine aktive Failover-Gruppe ausfällt, wechselt sie in den Standby-Status, während die Standby-Failover-Gruppe aktiv wird. Die Schnittstellen in der Failover-Gruppe, die aktiv wird, übernehmen die MAC- und IP-Adressen der ausgefallenen Schnittstellen in der Failover-Gruppe. Die Schnittstellen in der Failover-Gruppe, die sich nun im Standby-Zustand befindet, übernehmen die Standby-MAC- und -IP-Adressen.
Hinweis: Eine Failover-Gruppe, die auf einem Gerät ausfällt, bedeutet nicht, dass das Gerät ausgefallen ist. Möglicherweise wird der Datenverkehr weiterhin von einer anderen Failover-Gruppe weitergeleitet.
Wie bei Aktiv/Standby-Failover wird eine Einheit in einem Aktiv/Aktiv-Failover-Paar als primäre Einheit und die andere Einheit als sekundäre Einheit bezeichnet. Im Gegensatz zu Active/Standby-Failover gibt diese Bezeichnung nicht an, welches Gerät aktiv wird, wenn beide Geräte gleichzeitig starten. Stattdessen bewirkt die primäre/sekundäre Bezeichnung zweierlei:
Bestimmt, welche Einheit die aktuelle Konfiguration dem Paar bereitstellt, wenn es gleichzeitig bootet.
Bestimmt, auf welcher Einheit die einzelnen Failover-Gruppen im aktiven Zustand angezeigt werden, wenn die Einheiten gleichzeitig booten. Für jede Failover-Gruppe in der Konfiguration wird eine bevorzugte primäre oder sekundäre Einheit konfiguriert. Sie können beide Failover-Gruppen auf einer Einheit des Paars im aktiven Status konfigurieren, während die andere Einheit die Failover-Gruppen im Standby-Status enthält. Eine typischere Konfiguration besteht jedoch darin, jeder Failover-Gruppe eine andere Rollenpräferenz zuzuweisen, damit jede Gruppe auf einer anderen Einheit aktiv ist und den Datenverkehr auf die Geräte verteilt.
Hinweis: Die Sicherheits-Appliance bietet keine Services für den Lastenausgleich. Der Lastenausgleich muss von einem Router vorgenommen werden, der den Datenverkehr an die Security Appliance weiterleitet.
Wie dargestellt, an welcher Einheit die einzelnen Failover-Gruppen aktiv werden
Wenn eine Einheit bootet, die Peer-Einheit jedoch nicht verfügbar ist, werden beide Failover-Gruppen auf der Einheit aktiv.
Wenn eine Einheit gestartet wird, während die Peer-Einheit aktiv ist (wobei sich beide Failover-Gruppen im aktiven Zustand befinden), bleiben die Failover-Gruppen im aktiven Zustand der aktiven Einheit, unabhängig von der primären oder sekundären Präferenz der Failover-Gruppe, bis zu einem der folgenden Schritte:
Ein Failover tritt auf.
Mit dem Befehl no failover active zwingen Sie die Failover-Gruppe manuell auf die andere Einheit.
Sie haben die Failover-Gruppe mit dem Befehl preempt konfiguriert, der bewirkt, dass die Failover-Gruppe automatisch auf der bevorzugten Einheit aktiviert wird, sobald die Einheit verfügbar ist.
Wenn beide Einheiten gleichzeitig booten, wird jede Failover-Gruppe auf der bevorzugten Einheit aktiviert, nachdem die Konfigurationen synchronisiert wurden.
Die Konfigurationssynchronisierung erfolgt, wenn eine oder beide Einheiten eines Failover-Paars booten. Die Konfigurationen werden wie folgt synchronisiert:
Wenn eine Einheit bootet, während die Peer-Einheit aktiv ist (wobei beide Failover-Gruppen aktiv sind), kontaktiert die Boot-Einheit die aktive Einheit, um die laufende Konfiguration zu erhalten, unabhängig von der primären oder sekundären Bezeichnung der Boot-Einheit.
Wenn beide Einheiten gleichzeitig booten, erhält die sekundäre Einheit die aktuelle Konfiguration von der primären Einheit.
Wenn die Replikation gestartet wird, zeigt die Konsole der Sicherheits-Appliance auf der Einheit, die die Konfiguration sendet, die Meldung "Beginn der Konfigurationsreplikation: An MATE senden". Nach Abschluss dieses Vorgangs zeigt die Sicherheits-Appliance die Meldung "End Configuration Replication to MATE" (Konfigurationsreplikation beenden) an. Während der Replikation werden die auf der Einheit, die die Konfiguration sendet, eingegebenen Befehle möglicherweise nicht ordnungsgemäß auf der Peer-Einheit repliziert, und die auf der Einheit, die die Konfiguration empfängt, eingegebenen Befehle können durch die empfangene Konfiguration überschrieben werden. Vermeiden Sie die Eingabe von Befehlen für beide Geräte im Failover-Paar während des Konfigurations-Replikationsprozesses. Je nach Größe der Konfiguration kann die Replikation zwischen wenigen Sekunden und mehreren Minuten dauern.
Auf der Einheit, die die Konfiguration empfängt, ist die Konfiguration nur im laufenden Speicher vorhanden. Um die Konfiguration nach der Synchronisierung im Flash-Speicher zu speichern, geben Sie den Befehl write memory all im Systemausführungsumfang der Einheit ein, die über die Failover-Gruppe 1 im aktiven Zustand verfügt. Der Befehl wird auf die Peer-Einheit repliziert, die ihre Konfiguration in den Flash-Speicher schreibt. Wenn Sie mit diesem Befehl das Schlüsselwort all verwenden, werden das System und alle Kontextkonfigurationen gespeichert.
Hinweis: Auf die auf externen Servern gespeicherten Startkonfigurationen kann von jedem Gerät über das Netzwerk zugegriffen werden. Sie müssen nicht für jedes Gerät separat gespeichert werden. Alternativ können Sie die Kontextkonfigurationsdateien von der Festplatte auf der primären Einheit auf einen externen Server kopieren und dann auf die Festplatte auf der sekundären Einheit kopieren, wo sie verfügbar werden, wenn die Einheit neu geladen wird.
Nachdem beide Einheiten ausgeführt werden, werden die Befehle von einer Einheit zur anderen repliziert, wie dargestellt:
In einem Sicherheitskontext eingegebene Befehle werden von der Einheit, auf der der Sicherheitskontext im aktiven Zustand erscheint, an die Peer-Einheit repliziert.
Anmerkung: wird im aktiven Zustand einer Einheit betrachtet, wenn sich die Failover-Gruppe, der sie angehört, im aktiven Zustand dieser Einheit befindet.
Befehle, die im System-Ausführungsbereich eingegeben werden, werden von der Einheit, auf der sich die Failover-Gruppe 1 im aktiven Zustand befindet, zu der Einheit repliziert, auf der sich die Failover-Gruppe 1 im Standby-Zustand befindet.
Im Admin-Kontext eingegebene Befehle werden von der Einheit, auf der sich die Failover-Gruppe 1 im aktiven Zustand befindet, zu der Einheit repliziert, auf der sich die Failover-Gruppe 1 im Standby-Zustand befindet.
Alle Konfigurations- und Dateibefehle (Kopieren, Umbenennen, Löschen, mkdir, rmdir usw.) werden mit den folgenden Ausnahmen repliziert. Die Befehle show, debug, mode, firewall und failover lan unit werden nicht repliziert.
Wenn die Befehle nicht auf der entsprechenden Einheit eingegeben werden, um eine Befehlsreplikation zu ermöglichen, werden die Konfigurationen nicht synchronisiert. Diese Änderungen gehen möglicherweise bei der nächsten Synchronisierung der Erstkonfiguration verloren.
Sie können den write standby-Befehl verwenden, um Konfigurationen zu re-synchronisieren, die nicht mehr synchronisiert sind. Bei Active/Active Failover verhält sich der Write Standby-Befehl wie folgt:
Wenn Sie den Befehl write standby im Systemausführungsumfang eingeben, werden die Systemkonfiguration und die Konfigurationen für alle Sicherheitskontexte auf der Sicherheits-Appliance auf die Peer-Einheit geschrieben. Dazu gehören auch Konfigurationsinformationen für Sicherheitskontexte, die sich im Standby-Zustand befinden. Sie müssen den Befehl im Bereich für die Systemausführung auf der Einheit eingeben, die über Failover-Gruppe 1 im aktiven Zustand verfügt.
Hinweis: Wenn auf der Peer-Einheit Sicherheitskontexte im aktiven Zustand vorhanden sind, werden aktive Verbindungen durch den Befehl write standby beendet. Verwenden Sie den Befehl failover active auf dem Gerät, das die Konfiguration bereitstellt, um sicherzustellen, dass alle Kontexte auf diesem Gerät aktiv sind, bevor Sie den Befehl write standby eingeben.
Wenn Sie den Befehl write standby in einem Sicherheitskontext eingeben, wird nur die Konfiguration für den Sicherheitskontext auf die Peer-Einheit geschrieben. Sie müssen den Befehl im Sicherheitskontext auf der Einheit eingeben, auf der der Sicherheitskontext im aktiven Zustand angezeigt wird.
Replizierte Befehle werden nicht im Flash-Speicher gespeichert, wenn sie auf die Peer-Einheit repliziert werden. Sie werden der aktuellen Konfiguration hinzugefügt. Um replizierte Befehle auf beiden Geräten im Flash-Speicher zu speichern, verwenden Sie den Befehl write memory oder copy running-config startup-config auf der Einheit, an der Sie die Änderungen vorgenommen haben. Der Befehl wird auf die Peer-Einheit repliziert und veranlasst, dass die Konfiguration im Flash-Speicher der Peer-Einheit gespeichert wird.
Bei Aktiv/Aktiv-Failover kann der Failover auf Geräteebene ausgelöst werden, wenn eines der folgenden Ereignisse eintritt:
Hardwarefehler im Gerät.
Das Gerät weist einen Stromausfall auf.
Die Einheit weist einen Softwarefehler auf.
Der Befehl no failover active oder failover active wird in den Ausführungsbereich des Systems eingegeben.
Failover wird auf Ebene der Failover-Gruppe ausgelöst, wenn eines der folgenden Ereignisse eintritt:
Zu viele überwachte Schnittstellen in der Gruppe sind fehlerhaft.
Der Befehl no failover active group_id or failover active group_id wird eingegeben.
In einer Aktiv/Aktiv-Failover-Konfiguration erfolgt das Failover auf Failover-Gruppenbasis und nicht auf Systembasis. Wenn Sie beispielsweise beide Failover-Gruppen als aktiv auf der primären Einheit festlegen und Failover-Gruppe 1 ausfällt, bleibt Failover-Gruppe 2 auf der primären Einheit aktiv, während Failover-Gruppe 1 auf der sekundären Einheit aktiv wird.
Hinweis: Stellen Sie bei der Konfiguration des Aktiv/Aktiv-Failovers sicher, dass der kombinierte Datenverkehr für beide Einheiten innerhalb der Kapazität der einzelnen Einheiten liegt.
Diese Tabelle zeigt die Failover-Aktion für jedes Fehlerereignis. Für jedes Fehlerereignis werden die Richtlinie (ob Failover auftritt oder nicht), Aktionen für die aktive Failover-Gruppe und Aktionen für die Standby-Failover-Gruppe angegeben.
Fehlerereignis | Richtlinie | Aktion der aktiven Gruppe | Standby-Gruppenaktion | Hinweise |
---|---|---|---|---|
Stromversorgungs- oder Softwareausfall bei einem Gerät | Failover | Als ausgefallen markieren | Standby-Modus Aktiv als fehlgeschlagen markieren | Wenn eine Einheit in einem Failover-Paar ausfällt, werden alle aktiven Failover-Gruppen auf dieser Einheit als ausgefallen markiert und auf der Peer-Einheit aktiviert. |
Schnittstellenfehler in aktiver Failover-Gruppe oberhalb des Grenzwerts | Failover | Aktive Gruppe als fehlerhaft markieren | Werden Sie aktiv | None |
Schnittstellenfehler in Standby-Failover-Gruppe oberhalb des Grenzwerts | Kein Failover | Keine Aktion | Standby-Gruppe als fehlerhaft markieren | Wenn die Standby-Failover-Gruppe als ausgefallen markiert ist, versucht die aktive Failover-Gruppe kein Failover, selbst wenn der Schwellenwert für Schnittstellenausfälle überschritten wird. |
Früher aktive Failover-Gruppe wird wiederhergestellt | Kein Failover | Keine Aktion | Keine Aktion | Wenn der Befehl preempt nicht konfiguriert wurde, bleiben die Failover-Gruppen auf ihrer aktuellen Einheit aktiv. |
Failover-Verbindung beim Start fehlgeschlagen | Kein Failover | Werden Sie aktiv | Werden Sie aktiv | Wenn die Failover-Verbindung beim Start ausfällt, werden beide Failover-Gruppen auf beiden Geräten aktiviert. |
Stateful Failover-Verbindung fehlgeschlagen | Kein Failover | Keine Aktion | Keine Aktion | Statusinformationen sind nicht mehr aktuell, und Sitzungen werden beendet, wenn ein Failover auftritt. |
Failover-Verbindung während des Betriebs fehlgeschlagen | Kein Failover | – | – | Jede Einheit markiert die Failover-Schnittstelle als ausgefallen. Sie sollten die Failover-Verbindung so schnell wie möglich wiederherstellen, da bei einem Ausfall der Failover-Verbindung kein Failover zum Standby-Gerät möglich ist. |
Die Security Appliance unterstützt zwei Arten von Failover: regulär und Stateful. Dieser Abschnitt behandelt folgende Themen:
Bei einem Failover werden alle aktiven Verbindungen getrennt. Clients müssen Verbindungen wiederherstellen, wenn die neue aktive Einheit übernommen wird.
Wenn die Stateful Failover-Funktion aktiviert ist, leitet das aktive Gerät Informationen zum Status pro Verbindung kontinuierlich an das Standby-Gerät weiter. Nach einem Failover sind die gleichen Verbindungsinformationen an der neuen aktiven Einheit verfügbar. Unterstützte Endbenutzeranwendungen müssen nicht erneut eine Verbindung herstellen, um dieselbe Kommunikationssitzung aufrechtzuerhalten.
Die an die Standby-Einheit weitergeleiteten Statusinformationen umfassen Folgendes:
Die NAT-Übersetzungstabelle
Der TCP-Verbindungsstatus
Status der UDP-Verbindung
Die ARP-Tabelle
Die Layer-2-Bridge-Tabelle (bei Ausführung im transparenten Firewall-Modus)
HTTP-Verbindungsstatus (bei aktivierter HTTP-Replikation)
Die ISAKMP- und IPSec-SA-Tabelle
Die GTP PDP-Verbindungsdatenbank
Die Informationen, die bei aktiviertem Stateful Failover nicht an das Standby-Gerät weitergeleitet werden, sind wie folgt:
Die HTTP-Verbindungstabelle (sofern die HTTP-Replikation nicht aktiviert ist)
Die Benutzerauthentifizierungstabelle (uauth)
Die Routing-Tabellen
Statusinformationen zu Sicherheitsdienstmodulen
Anmerkung: Wenn innerhalb einer aktiven Cisco IP SoftPhone-Sitzung ein Failover auftritt, bleibt der Anruf aktiv, da die Informationen zum Anrufsitzungsstatus auf die Standby-Einheit repliziert werden. Wenn der Anruf beendet wird, wird die Verbindung zwischen dem IP-SoftPhone-Client und dem Call Manager unterbrochen. Dies liegt daran, dass keine Sitzungsinformationen für die CTIQBE-Aufhängenachricht auf dem Standby-Gerät vorhanden sind. Wenn der IP-Softphone-Client innerhalb eines bestimmten Zeitraums keine Antwort vom Call Manager erhält, hält er den Call Manager für nicht erreichbar und hebt die Registrierung auf.
Sie können Failover nicht mit den folgenden IP-Adresstypen konfigurieren:
IP-Adressen über DHCP
Über PPPoE erhaltene IP-Adressen
IPv6-Adressen
Außerdem gelten die folgenden Einschränkungen:
Stateful Failover wird auf der Adaptive Security Appliance der Serie ASA 5505 nicht unterstützt.
Aktiv/Aktiv-Failover wird auf der Adaptive Security Appliance der Serie ASA 5505 nicht unterstützt.
Wenn Easy VPN Remote auf der Adaptive Security Appliance ASA 5505 aktiviert ist, können Sie kein Failover konfigurieren.
VPN-Failover wird im Multiple-Context-Modus nicht unterstützt.
Der Multiple-Context-Modus unterstützt diese Funktionen nicht:
Dynamische Routing-Protokolle
Sicherheitskontexte unterstützen nur statische Routen. Sie können OSPF oder RIP nicht im Multiple-Context-Modus aktivieren.
VPN
Multicast
Bevor Sie beginnen, überprüfen Sie Folgendes:
Beide Einheiten verfügen über die gleiche Hardware, Softwarekonfiguration und korrekte Lizenz.
Beide Geräte sind im gleichen Modus (Einzel- oder Mehrfachmodus, transparent oder geroutet).
In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:
Führen Sie die folgenden Schritte aus, um den Aktiv/Aktiv-Failover mithilfe eines seriellen Kabels als Failover-Verbindung zu konfigurieren. Die Befehle in dieser Aufgabe werden auf der primären Einheit des Failover-Paars eingegeben. Die primäre Einheit ist die Einheit, an die das Ende des Kabels mit der Bezeichnung "Primär" angeschlossen ist. Bei Geräten im Multiple-Context-Modus werden die Befehle, sofern nichts anderes vermerkt ist, in den Ausführungsbereich des Systems eingegeben.
Wenn Sie ein kabelbasiertes Failover verwenden, müssen Sie die sekundäre Einheit des Failover-Paars nicht booten. Lassen Sie die Sekundäreinheit ausgeschaltet, bis Sie dazu aufgefordert werden, sie einzuschalten.
Hinweis: Kabelbasiertes Failover ist nur auf der Security Appliance der Serie PIX 500 verfügbar.
Gehen Sie wie folgt vor, um ein kabelbasiertes Aktiv/Aktiv-Failover zu konfigurieren:
Schließen Sie das Failover-Kabel an die Security Appliances der Serie PIX 500 an. Stellen Sie sicher, dass Sie das Ende des Kabels mit der Kennzeichnung "Primary" (Primär) an das Gerät anschließen, das Sie als Primäreinheit verwenden, und dass Sie das Ende des Kabels mit der Kennzeichnung "Secondary" (Sekundär) an das Gerät anschließen, das Sie als Sekundäreinheit verwenden.
Schalten Sie die primäre Einheit ein.
Falls noch nicht geschehen, konfigurieren Sie die aktiven und Standby-IP-Adressen für jede Datenschnittstelle (gerouteter Modus), für die Management-IP-Adresse (transparenter Modus) oder für die reine Management-Schnittstelle. Die Standby-IP-Adresse wird auf der Sicherheits-Appliance verwendet, die derzeit die Standby-Appliance ist. Sie muss sich im gleichen Subnetz wie die aktive IP-Adresse befinden.
Sie müssen die Schnittstellenadressen aus jedem Kontext heraus konfigurieren. Verwenden Sie den Befehl changeto context, um zwischen Kontexten zu wechseln. Die Eingabeaufforderung ändert sich in hostname/context(config-if)#, wobei context der Name des aktuellen Kontexts ist. Sie müssen eine Management-IP-Adresse für jeden Kontext im transparenten Firewall-Multiple-Context-Modus eingeben.
Hinweis: Konfigurieren Sie keine IP-Adresse für die Stateful Failover-Verbindung, wenn Sie eine dedizierte Stateful Failover-Schnittstelle verwenden. Mit dem Befehl failover interface ip können Sie in einem späteren Schritt eine dedizierte Stateful Failover-Schnittstelle konfigurieren.
hostname/context(config-if)#ip address active_addr netmask standby standby_addr
Im Beispiel wird die externe Schnittstelle für context1 des primären PIX folgendermaßen konfiguriert:
PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
Für Context2:
PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
Im Routing-Firewall-Modus und für die reine Management-Schnittstelle wird dieser Befehl für jede Schnittstelle in den Schnittstellenkonfigurationsmodus eingegeben. Im transparenten Firewall-Modus wird der Befehl in den globalen Konfigurationsmodus eingegeben.
Um Stateful Failover zu aktivieren, konfigurieren Sie die Stateful Failover-Verbindung.
Geben Sie die Schnittstelle an, die als Stateful Failover-Verbindung verwendet werden soll:
hostname(config)#failover link if_name phy_if
In diesem Beispiel wird die Ethernet2-Schnittstelle verwendet, um die Statusinformationen der Stateful Failover-Verbindung auszutauschen.
failover link stateful Ethernet2
Das Argument if_name weist der durch das Argument phy_if angegebenen Schnittstelle einen logischen Namen zu. Das Argument phy_if kann der Name des physischen Ports sein, z. B. Ethernet1, oder eine zuvor erstellte Subschnittstelle, z. B. Ethernet0/2.3. Diese Schnittstelle sollte für keinen anderen Zweck verwendet werden (außer optional der Failover-Verbindung).
Weisen Sie der Stateful Failover-Verbindung eine aktive und eine Standby-IP-Adresse zu:
hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
In diesem Beispiel wird 10.0.0.1 als aktive und 10.0.0.2 als Standby-IP-Adresse für die Stateful Failover-Verbindung verwendet.
PIX1(config)#failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2
Die Standby-IP-Adresse muss sich im gleichen Subnetz wie die aktive IP-Adresse befinden. Sie müssen die Subnetzmaske der Standby-IP-Adresse nicht identifizieren.
Die IP-Adresse und die MAC-Adresse der Stateful Failover-Verbindung ändern sich beim Failover nicht, es sei denn, Stateful Failover verwendet eine reguläre Datenschnittstelle. Die aktive IP-Adresse bleibt immer bei der primären Einheit, während die Standby-IP-Adresse bei der sekundären Einheit bleibt.
Aktivieren Sie die Schnittstelle:
hostname(config)#interface phy_if
hostname(config-if)#no shutdown
Konfigurieren Sie die Failovergruppen. Es können maximal zwei Failover-Gruppen vorhanden sein. Mit dem Befehl failover group wird die angegebene Failover-Gruppe erstellt, wenn sie nicht vorhanden ist. Der Befehl wechselt in den Konfigurationsmodus für die Failover-Gruppe.
Geben Sie für jede Failover-Gruppe mit dem Befehl primary oder sekundär an, ob die Failover-Gruppe über eine primäre oder eine sekundäre Einstellung verfügt. Sie können beiden Failover-Gruppen dieselbe Einstellung zuweisen. Für Lastenausgleichskonfigurationen sollten Sie jeder Failover-Gruppe eine andere Einheitenvoreinstellung zuweisen.
Im folgenden Beispiel wird der Failover-Gruppe 1 eine primäre und der Failover-Gruppe 2 eine sekundäre Priorität zugewiesen:
hostname(config)#failover group 1 hostname(config-fover-group)#primary hostname(config-fover-group)#exit hostname(config)#failover group 2 hostname(config-fover-group)#secondary hostname(config-fover-group)#exit
Weisen Sie jeden Benutzerkontext einer Failovergruppe mithilfe des Befehls join-failover-group im Kontextkonfigurationsmodus zu.
Nicht zugewiesene Kontexte werden automatisch der Failovergruppe 1 zugewiesen. Der Admin-Kontext ist immer Mitglied der Failovergruppe 1.
Geben Sie die folgenden Befehle ein, um jeden Kontext einer Failover-Gruppe zuzuweisen:
hostname(config)#context context_name
hostname(config-context)#join-failover-group {1 | 2}
hostname(config-context)#exit
Failover aktivieren:
hostname(config)#failover
Schalten Sie die Sekundäreinheit ein, und aktivieren Sie Failover, wenn diese nicht bereits aktiviert ist:
hostname(config)#failover
Die aktive Einheit sendet die Konfiguration im laufenden Speicher an die Standby-Einheit. Während der Synchronisierung der Konfiguration wird die Meldung "Beginn der Konfigurationsreplikation: Senden an MATE" und "End Configuration Replication to MATE" werden auf der primären Konsole angezeigt.
Hinweis: Geben Sie den Befehl failover zuerst für das primäre Gerät und dann für das sekundäre Gerät ein. Nachdem Sie den Failover-Befehl auf dem sekundären Gerät ausgegeben haben, ruft das sekundäre Gerät sofort die Konfiguration vom primären Gerät ab und setzt sich in den Standby-Modus. Die primäre ASA bleibt aktiv, leitet den Datenverkehr normal weiter und markiert sich selbst als aktives Gerät. Von diesem Zeitpunkt an wird das Standby-Gerät aktiviert, wenn am aktiven Gerät ein Fehler auftritt.
Speichern Sie die Konfiguration auf der primären Einheit als Flash-Speicher. Da die auf der primären Einheit eingegebenen Befehle auf der sekundären Einheit repliziert werden, speichert die sekundäre Einheit ihre Konfiguration auch im Flash-Speicher.
hostname(config)#copy running-config startup-config
Setzen Sie ggf. alle Failover-Gruppen, die auf dem primären Gerät aktiv sind, auf den aktiven Status auf dem sekundären Gerät. Um zu erzwingen, dass eine Failover-Gruppe auf der sekundären Einheit aktiviert wird, führen Sie den folgenden Befehl im Systemausführungsumfang der primären Einheit aus:
hostname#no failover active group group_id
Das Argument group_id gibt die Gruppe an, die auf der sekundären Einheit aktiv werden soll.
In diesem Dokument werden folgende Konfigurationen verwendet:
PIX1 - Systemkonfiguration |
---|
PIX1#show running-config : Saved PIX Version 7.2(2) |
PIX1 - Context1-Konfiguration |
---|
PIX1/context1(config)#show running-config : Saved : PIX Version 7.2(2) |
PIX1 - Context2-Konfiguration |
---|
PIX1/context2(config)#show running-config : Saved : PIX Version 7.2(2) |
In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:
In diesem Abschnitt wird beschrieben, wie Sie Aktiv/Aktiv-Failover mithilfe einer Ethernet-Failover-Verbindung konfigurieren. Wenn Sie LAN-basiertes Failover konfigurieren, müssen Sie das sekundäre Gerät booten, um die Failover-Verbindung zu erkennen, bevor das sekundäre Gerät die aktuelle Konfiguration vom primären Gerät abrufen kann.
Hinweis: Anstatt ein Crossover-Ethernet-Kabel zur direkten Verbindung der Einheiten zu verwenden, empfiehlt Cisco die Verwendung eines dedizierten Switches zwischen der primären und sekundären Einheit.
In diesem Abschnitt werden die folgenden Themen behandelt:
Gehen Sie wie folgt vor, um die primäre Einheit in einer Aktiv/Aktiv-Failover-Konfiguration zu konfigurieren:
Falls noch nicht geschehen, konfigurieren Sie die aktiven und Standby-IP-Adressen für jede Datenschnittstelle (gerouteter Modus), für die Management-IP-Adresse (transparenter Modus) oder für die reine Management-Schnittstelle. Die Standby-IP-Adresse wird auf der Sicherheits-Appliance verwendet, die derzeit die Standby-Appliance ist. Sie muss sich im gleichen Subnetz wie die aktive IP-Adresse befinden.
Sie müssen die Schnittstellenadressen aus jedem Kontext heraus konfigurieren. Verwenden Sie den Befehl changeto context, um zwischen Kontexten zu wechseln. Die Eingabeaufforderung wird in hostname/context(config-if)# geändert, wobei context der Name des aktuellen Kontexts ist. Im transparenten Firewall-Modus müssen Sie für jeden Kontext eine Management-IP-Adresse eingeben.
Hinweis: Konfigurieren Sie keine IP-Adresse für die Stateful Failover-Verbindung, wenn Sie eine dedizierte Stateful Failover-Schnittstelle verwenden. Mit dem Befehl failover interface ip können Sie in einem späteren Schritt eine dedizierte Stateful Failover-Schnittstelle konfigurieren.
hostname/context(config-if)#ip address active_addr netmask standby standby_addr
Im Beispiel wird die externe Schnittstelle für context1 des primären PIX folgendermaßen konfiguriert:
PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
Für Context2:
PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
Im Routing-Firewall-Modus und für die reine Management-Schnittstelle wird dieser Befehl für jede Schnittstelle in den Schnittstellenkonfigurationsmodus eingegeben. Im transparenten Firewall-Modus wird der Befehl in den globalen Konfigurationsmodus eingegeben.
Konfigurieren Sie die grundlegenden Failover-Parameter im Bereich für die Systemausführung.
(Nur PIX Security Appliance) LAN-basiertes Failover aktivieren:
hostname(config)#failover lan enable
Bestimmen Sie die Einheit als primäre Einheit:
hostname(config)#failover lan unit primary
Legen Sie die Failover-Verbindung fest:
hostname(config)#failover lan interface if_name phy_if
In diesem Beispiel wird die Schnittstelle Ethernet 3 als LAN-basierte Failover-Schnittstelle verwendet.
PIX1(config)#failover lan interface LANFailover ethernet3
Das Argument if_name weist der durch das Argument phy_if angegebenen Schnittstelle einen logischen Namen zu. Das Argument phy_if kann der Name des physischen Ports sein, z. B. Ethernet1, oder eine zuvor erstellte Subschnittstelle, z. B. Ethernet0/2.3. Auf der Adaptive Security Appliance ASA 5505 gibt phy_if ein VLAN an. Diese Schnittstelle sollte für keinen anderen Zweck verwendet werden (außer optional der Stateful Failover-Verbindung).
Geben Sie die aktiven Failover-Verbindungen und die Standby-IP-Adressen an:
hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
Für dieses Beispiel wird 10.1.0.1 als aktive und 10.1.0.2 als Standby-IP-Adressen für die Failover-Schnittstelle verwendet.
PIX1(config)#failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2
Die Standby-IP-Adresse muss sich im gleichen Subnetz wie die aktive IP-Adresse befinden. Sie müssen die Subnetzmaske der Standby-IP-Adresse nicht identifizieren. Die IP-Adresse und die MAC-Adresse der Failover-Verbindung ändern sich beim Failover nicht. Die aktive IP-Adresse bleibt immer bei der primären Einheit, während die Standby-IP-Adresse bei der sekundären Einheit bleibt.
Um Stateful Failover zu aktivieren, konfigurieren Sie die Stateful Failover-Verbindung:
Geben Sie die Schnittstelle an, die als Stateful Failover-Verbindung verwendet werden soll:
hostname(config)#failover link if_name phy_if
PIX1(config)#failover link stateful ethernet2
Das Argument if_name weist der durch das Argument phy_if angegebenen Schnittstelle einen logischen Namen zu. Das Argument phy_if kann der Name des physischen Ports sein, z. B. Ethernet1, oder eine zuvor erstellte Subschnittstelle, z. B. Ethernet0/2.3. Diese Schnittstelle sollte für keinen anderen Zweck verwendet werden (außer optional der Failover-Verbindung).
Hinweis: Wenn die Stateful Failover-Verbindung die Failover-Verbindung oder eine reguläre Datenschnittstelle verwendet, müssen Sie nur das if_name-Argument angeben.
Weisen Sie der Stateful Failover-Verbindung eine aktive und eine Standby-IP-Adresse zu.
Hinweis: Wenn die Stateful Failover-Verbindung die Failover-Verbindung oder eine reguläre Datenschnittstelle verwendet, überspringen Sie diesen Schritt. Sie haben bereits die aktiven und Standby-IP-Adressen für die Schnittstelle definiert.
hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
PIX1(config)#failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2
Die Standby-IP-Adresse muss sich im gleichen Subnetz wie die aktive IP-Adresse befinden. Sie müssen die Subnetzmaske der Standby-Adresse nicht identifizieren. Die IP-Adresse und die MAC-Adresse der Zustandsverbindung ändern sich bei einem Failover nicht. Die aktive IP-Adresse bleibt immer bei der primären Einheit, während die Standby-IP-Adresse bei der sekundären Einheit bleibt.
Aktivieren Sie die Schnittstelle.
Hinweis: Wenn die Stateful Failover-Verbindung die Failover-Verbindung oder die reguläre Datenschnittstelle verwendet, überspringen Sie diesen Schritt. Sie haben die Schnittstelle bereits aktiviert.
hostname(config)#interface phy_if
hostname(config-if)#no shutdown
Konfigurieren Sie die Failovergruppen. Es können maximal zwei Failover-Gruppen vorhanden sein. Mit dem Befehl failover group wird die angegebene Failover-Gruppe erstellt, wenn sie nicht vorhanden ist. Der Befehl wechselt in den Konfigurationsmodus für die Failover-Gruppe.
Geben Sie für jede Failover-Gruppe mithilfe des Befehls primary (primär) oder sekundär (sekundär) an, ob die Failover-Gruppe die primäre oder sekundäre Priorität hat. Sie können beiden Failover-Gruppen dieselbe Einstellung zuweisen. Für Lastenausgleichskonfigurationen sollten Sie jeder Failover-Gruppe eine andere Einheitenvoreinstellung zuweisen.
Im folgenden Beispiel wird der Failover-Gruppe 1 eine primäre und der Failover-Gruppe 2 eine sekundäre Priorität zugewiesen:
hostname(config)#failover group 1 hostname(config-fover-group)#primary hostname(config-fover-group)#exit hostname(config)#failover group 2 hostname(config-fover-group)#secondary hostname(config-fover-group)#exit
Weisen Sie jeden Benutzerkontext einer Failovergruppe mithilfe des Befehls join-failover-group im Kontextkonfigurationsmodus zu.
Nicht zugewiesene Kontexte werden automatisch der Failovergruppe 1 zugewiesen. Der Admin-Kontext ist immer Mitglied der Failovergruppe 1.
Geben Sie die folgenden Befehle ein, um jeden Kontext einer Failover-Gruppe zuzuweisen:
hostname(config)#context context_name
hostname(config-context)#join-failover-group {1 | 2}
hostname(config-context)#exit
Aktivieren Sie Failover.
hostname(config)#failover
Bei der Konfiguration eines LAN-basierten Aktiv/Aktiv-Failovers müssen Sie die Sekundäreinheit booten, um die Failover-Verbindung zu erkennen. Auf diese Weise kann die Sekundäreinheit mit der Primäreinheit kommunizieren und die aktuelle Konfiguration von dieser empfangen.
Führen Sie die folgenden Schritte aus, um die sekundäre Einheit in einer Aktiv/Aktiv-Failover-Konfiguration zu booten:
(Nur PIX Security Appliance) LAN-basiertes Failover aktivieren.
hostname(config)#failover lan enable
Definieren der Failover-Schnittstelle Verwenden Sie die gleichen Einstellungen wie für die primäre Einheit:
Geben Sie die Schnittstelle an, die als Failover-Schnittstelle verwendet werden soll.
hostname(config)#failover lan interface if_name phy_if
PIX1(config)#failover lan interface LANFailover ethernet3
Das Argument if_name weist der durch das Argument phy_if angegebenen Schnittstelle einen logischen Namen zu. Das Argument phy_if kann der Name des physischen Ports sein, z. B. Ethernet1, oder eine zuvor erstellte Subschnittstelle, z. B. Ethernet0/2.3. Auf der Adaptive Security Appliance ASA 5505 gibt phy_if ein VLAN an.
Weisen Sie der Failover-Verbindung die aktive und die Standby-IP-Adresse zu:
hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
PIX1(config)#failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2
Hinweis: Geben Sie diesen Befehl genau so ein, wie Sie ihn bei der Konfiguration der Failover-Schnittstelle auf der primären Einheit eingegeben haben.
Die Standby-IP-Adresse muss sich im gleichen Subnetz wie die aktive IP-Adresse befinden. Sie müssen die Subnetzmaske der Standby-Adresse nicht identifizieren.
Aktivieren Sie die Schnittstelle.
hostname(config)#interface phy_if
hostname(config-if)#no shutdown
Diese Einheit als sekundäre Einheit kennzeichnen:
hostname(config)#failover lan unit secondary
Hinweis: Dieser Schritt ist optional, da Einheiten standardmäßig als sekundär gekennzeichnet sind, sofern zuvor keine andere Konfiguration vorgenommen wurde.
Aktivieren Sie Failover.
hostname(config)#failover
Nachdem Sie Failover aktiviert haben, sendet die aktive Einheit die Konfiguration im laufenden Speicher an die Standby-Einheit. Bei der Synchronisierung der Konfiguration werden die Meldungen Beginn der Konfigurationsreplikation: Senden an MATE und End Configuration Replication to MATE wird auf der Konsole der aktiven Einheit angezeigt.
Hinweis: Geben Sie den Befehl failover zuerst für das primäre Gerät und dann für das sekundäre Gerät ein. Nachdem Sie den Failover-Befehl auf dem sekundären Gerät ausgegeben haben, ruft das sekundäre Gerät sofort die Konfiguration vom primären Gerät ab und setzt sich in den Standby-Modus. Die primäre ASA bleibt aktiv, leitet den Datenverkehr normal weiter und markiert sich selbst als aktives Gerät. Von diesem Zeitpunkt an wird das Standby-Gerät aktiviert, wenn am aktiven Gerät ein Fehler auftritt.
Wenn die Replikation der aktuellen Konfiguration abgeschlossen ist, geben Sie den folgenden Befehl ein, um die Konfiguration im Flash-Speicher zu speichern:
hostname(config)#copy running-config startup-config
Setzen Sie ggf. alle Failover-Gruppen, die auf dem primären Gerät aktiv sind, auf den aktiven Status auf dem sekundären Gerät. Um zu erzwingen, dass eine Failover-Gruppe auf der sekundären Einheit aktiviert wird, geben Sie diesen Befehl im Systemausführungsumfang der primären Einheit ein:
hostname#no failover active group group_id
Das Argument group_id gibt die Gruppe an, die auf der sekundären Einheit aktiv werden soll.
In diesem Dokument werden folgende Konfigurationen verwendet:
Primär-PIX |
---|
PIX1(config)#show running-config : Saved : PIX Version 7.2(2) <system> ! hostname PIX1 enable password 8Ry2YjIyt7RRXU24 encrypted no mac-address auto ! interface Ethernet0 ! interface Ethernet0.1 vlan 2 ! interface Ethernet0.2 vlan 4 ! interface Ethernet1 ! interface Ethernet1.1 vlan 3 ! interface Ethernet1.2 vlan 5 ! !--- Configure "no shutdown" in the stateful failover interface as well as !--- LAN Failover interface of both Primary and secondary PIX/ASA. interface Ethernet2 description STATE Failover Interface ! interface Ethernet3 description LAN Failover Interface ! interface Ethernet4 shutdown ! interface Ethernet5 shutdown ! class default limit-resource All 0 limit-resource ASDM 5 limit-resource SSH 5 limit-resource Telnet 5 ! ftp mode passive pager lines 24 failover failover lan unit primary !--- Command to assign the interface for LAN based failover failover lan interface LANFailover Ethernet3 !--- Command to enable the LAN based failover failover lan enable !--- Configure the Authentication/Encryption key failover key ***** failover link stateful Ethernet2 !--- Configure the active and standby IP's for the LAN based failover failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2 failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2 failover group 1 failover group 2 secondary no asdm history enable arp timeout 14400 console timeout 0 admin-context admin context admin config-url flash:/admin.cfg ! context context1 allocate-interface Ethernet0.1 inside_context1 allocate-interface Ethernet1.1 outside_context1 config-url flash:/context1.cfg join-failover-group 1 ! context context2 allocate-interface Ethernet0.2 inside_context2 allocate-interface Ethernet1.2 outside_context2 config-url flash:/context2.cfg join-failover-group 2 ! prompt hostname context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end |
Hinweis: Informationen zur Kontextkonfiguration in einem LAN-basierten Failover-Szenario finden Sie im Abschnitt zur kabelbasierten Failover-Konfiguration, PIX1 - Context1-Konfiguration und PIX1 - Context2-Konfiguration.
Sekundärer PIX |
---|
PIX2#show running-config failover failover lan unit secondary failover lan interface LANFailover Ethernet3 failover lan enable failover key ***** failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2 |
In diesem Abschnitt wird die Ausgabe des Befehls show failover beschrieben. Mit dem Befehl show failover können Sie den Failover-Status jedes Geräts überprüfen.
Primär-PIX
PIX1(config-subif)#show failover Failover On Cable status: N/A - LAN-based failover enabled Failover unit Primary Failover LAN Interface: LANFailover Ethernet3 (up) Unit Poll frequency 15 seconds, holdtime 45 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 4 of 250 maximum Version: Ours 7.2(2), Mate 7.2(2) Group 1 last failover at: 06:12:45 UTC Apr 16 2007 Group 2 last failover at: 06:12:43 UTC Apr 16 2007 This host: Primary Group 1 State: Active Active time: 359610 (sec) Group 2 State: Standby Ready Active time: 3165 (sec) context1 Interface inside (192.168.1.1): Normal context1 Interface outside (172.16.1.1): Normal context2 Interface inside (192.168.2.2): Normal context2 Interface outside (172.16.2.2): Normal Other host: Secondary Group 1 State: Standby Ready Active time: 0 (sec) Group 2 State: Active Active time: 3900 (sec) context1 Interface inside (192.168.1.2): Normal context1 Interface outside (172.16.1.2): Normal context2 Interface inside (192.168.2.1): Normal context2 Interface outside (172.16.2.1): Normal Stateful Failover Logical Update Statistics Link : stateful Ethernet2 (up) Stateful Obj xmit xerr rcv rerr General 48044 0 48040 1 sys cmd 48042 0 48040 1 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 2 0 0 0 Xlate_Timeout 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 1 72081 Xmit Q: 0 1 48044
Sekundärer PIX
PIX1(config)#show failover Failover On Cable status: N/A - LAN-based failover enabled Failover unit Secondary Failover LAN Interface: LANFailover Ethernet3 (up) Unit Poll frequency 15 seconds, holdtime 45 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 4 of 250 maximum Version: Ours 7.2(2), Mate 7.2(2) Group 1 last failover at: 06:12:46 UTC Apr 16 2007 Group 2 last failover at: 06:12:41 UTC Apr 16 2007 This host: Secondary Group 1 State: Standby Ready Active time: 0 (sec) Group 2 State: Active Active time: 3975 (sec) context1 Interface inside (192.168.1.2): Normal context1 Interface outside (172.16.1.2): Normal context2 Interface inside (192.168.2.1): Normal context2 Interface outside (172.16.2.1): Normal Other host: Primary Group 1 State: Active Active time: 359685 (sec) Group 2 State: Standby Ready Active time: 3165 (sec) context1 Interface inside (192.168.1.1): Normal context1 Interface outside (172.16.1.1): Normal context2 Interface inside (192.168.2.2): Normal context2 Interface outside (172.16.2.2): Normal Stateful Failover Logical Update Statistics Link : stateful Ethernet2 (up) Stateful Obj xmit xerr rcv rerr General 940 0 942 2 sys cmd 940 0 940 2 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 0 0 2 0 Xlate_Timeout 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 1 1419 Xmit Q: 0 1 940
Verwenden Sie den Befehl show failover state (Failover-Status anzeigen), um den Status zu überprüfen.
Primär-PIX
PIX1(config)#show failover state State Last Failure Reason Date/Time This host - Primary Group 1 Active None Group 2 Standby Ready None Other host - Secondary Group 1 Standby Ready None Group 2 Active None ====Configuration State=== Sync Done ====Communication State=== Mac set
Sekundäre Einheit
PIX1(config)#show failover state State Last Failure Reason Date/Time This host - Secondary Group 1 Standby Ready None Group 2 Active None Other host - Primary Group 1 Active None Group 2 Standby Ready None ====Configuration State=== Sync Done - STANDBY ====Communication State=== Mac set
Um die IP-Adressen der Failover-Einheit zu überprüfen, verwenden Sie den Befehl show failover interface.
Primäre Einheit
PIX1(config)#show failover interface interface stateful Ethernet2 System IP Address: 10.0.0.1 255.255.255.0 My IP Address : 10.0.0.1 Other IP Address : 10.0.0.2 interface LANFailover Ethernet3 System IP Address: 10.1.0.1 255.255.255.0 My IP Address : 10.1.0.1 Other IP Address : 10.1.0.2
Sekundäre Einheit
PIX1(config)#show failover interface interface LANFailover Ethernet3 System IP Address: 10.1.0.1 255.255.255.0 My IP Address : 10.1.0.2 Other IP Address : 10.1.0.1 interface stateful Ethernet2 System IP Address: 10.0.0.1 255.255.255.0 My IP Address : 10.0.0.2 Other IP Address : 10.0.0.1
So zeigen Sie den Status der überwachten Schnittstellen an: Geben Sie im Einzelkontextmodus den Befehl show monitor-interface (Überwachungsschnittstelle anzeigen) im globalen Konfigurationsmodus ein. Geben Sie im Mehrfachkontextmodus die Option show monitor-interface innerhalb eines Kontexts ein.
Hinweis: Um die Integritätsüberwachung auf einer bestimmten Schnittstelle zu aktivieren, verwenden Sie den Befehl monitor-interface im globalen Konfigurationsmodus:
monitor-interface <if_name>
Primär-PIX
PIX1/context1(config)#show monitor-interface This host: Secondary - Active Interface inside (192.168.1.1): Normal Interface outside (172.16.1.1): Normal Other host: Secondary - Standby Ready Interface inside (192.168.1.2): Normal Interface outside (172.16.1.2): Normal
Sekundärer PIX
PIX1/context1(config)#show monitor-interface This host: Secondary - Standby Ready Interface inside (192.168.1.2): Normal Interface outside (172.16.1.2): Normal Other host: Secondary - Active Interface inside (192.168.1.1): Normal Interface outside (172.16.1.1): Normal
Hinweis: Wenn Sie keine Failover-IP-Adresse eingeben, wird mit dem Befehl show failover (Failover anzeigen) 0.0.0.0 als IP-Adresse angezeigt, und die Überwachung der Schnittstellen bleibt im Status "Waiting". Sie müssen eine Failover-IP-Adresse festlegen, damit das Failover funktioniert. Weitere Informationen zu den verschiedenen Failover-Zuständen finden Sie unter show failover.
Die Überwachung von physischen Schnittstellen ist standardmäßig aktiviert, die Überwachung von Subschnittstellen deaktiviert.
Um die Failover-Befehle in der aktuellen Konfiguration anzuzeigen, geben Sie den folgenden Befehl ein:
hostname(config)#show running-config failover
Alle Failover-Befehle werden angezeigt. Geben Sie für Einheiten, die im Mehrfachkontextmodus ausgeführt werden, den Befehl show running-config failover im Bereich für die Systemausführung ein. Geben Sie den Befehl show running-config all failover ein, um die Failover-Befehle in der aktuellen Konfiguration anzuzeigen, und fügen Sie Befehle ein, deren Standardwert Sie nicht geändert haben.
So testen Sie die Failover-Funktionalität:
Testen Sie, ob die aktive Einheit oder Failover-Gruppe den erwarteten Datenverkehr über FTP weiterleitet (z. B. zum Senden einer Datei zwischen Hosts an verschiedenen Schnittstellen).
Mit dem folgenden Befehl wird ein Failover auf die Standby-Einheit erzwungen:
Geben Sie für Active/Active Failover (Aktiv/Aktiv-Failover) den folgenden Befehl auf der Einheit ein, auf der die Failover-Gruppe mit der Schnittstelle, die Ihre Hosts verbindet, aktiv ist:
hostname(config)#no failover active group group_id
Verwenden Sie FTP, um eine weitere Datei zwischen denselben zwei Hosts zu senden.
Wenn der Test nicht erfolgreich war, geben Sie den Befehl show failover ein, um den Failover-Status zu überprüfen.
Wenn Sie fertig sind, können Sie den Status der Einheit oder Failover-Gruppe mit dem folgenden Befehl wiederherstellen:
Geben Sie für Active/Active Failover (Aktiv/Aktiv-Failover) den folgenden Befehl auf der Einheit ein, auf der die Failover-Gruppe mit der Schnittstelle, die Ihre Hosts verbindet, aktiv ist:
hostname(config)#failover active group group_id
Um die Aktivierung der Standby-Einheit zu erzwingen, geben Sie einen der folgenden Befehle ein:
Geben Sie den folgenden Befehl im System-Ausführungsbereich der Einheit ein, in der sich die Failover-Gruppe im Standby-Status befindet:
hostname#failover active group group_id
Oder geben Sie diesen Befehl im Systemausführungsbereich der Einheit ein, in der sich die Failover-Gruppe im aktiven Zustand befindet:
hostname#no failover active group group_id
Wenn Sie diesen Befehl im Systemausführungsumfang eingeben, werden alle Failover-Gruppen aktiv:
hostname#failover active
Um Failover zu deaktivieren, geben Sie den folgenden Befehl ein:
hostname(config)#no failover
Wenn Sie Failover für ein Aktiv/Standby-Paar deaktivieren, wird dadurch der Aktiv- und Standby-Status der einzelnen Einheiten beibehalten, bis Sie neu starten. Beispielsweise verbleibt das Standby-Gerät im Standby-Modus, sodass beide Geräte keinen Datenverkehr weiterleiten. Informationen zur Aktivierung der Standby-Einheit (auch bei deaktiviertem Failover) finden Sie im Abschnitt Erzwungenes Failover.
Wenn Sie Failover für ein Aktiv/Aktiv-Paar deaktivieren, bleiben die Failover-Gruppen im aktiven Zustand, unabhängig davon, für welche Einheit sie konfiguriert sind. Der Befehl no failover kann im Ausführungsbereich des Systems eingegeben werden.
Geben Sie den folgenden Befehl ein, um eine ausgefallene Active/Active-Failover-Gruppe in den Status "Nicht ausgefallen" zurückzusetzen:
hostname(config)#failover reset group group_id
Wenn Sie eine ausgefallene Einheit in einen nicht ausgefallenen Zustand zurücksetzen, wird sie nicht automatisch aktiviert. Wiederhergestellte Einheiten oder Gruppen bleiben im Standby-Zustand, bis sie durch Failover aktiviert werden (erzwungen oder natürlich). Eine Ausnahme ist eine Failover-Gruppe, die mit dem Befehl preempt konfiguriert wurde. Wenn eine Failover-Gruppe zuvor aktiv war, wird sie aktiviert, wenn sie mit dem Befehl preempt konfiguriert wurde und wenn die Einheit, bei der der Fehler aufgetreten ist, die bevorzugte Einheit ist.
Gehen Sie wie folgt vor, um eine ausgefallene Einheit durch eine neue zu ersetzen:
Führen Sie den Befehl no failover auf der primären Einheit aus.
Der Status der Sekundäreinheit zeigt an, dass das Standby-Gerät nicht erkannt wurde.
Ziehen Sie das Hauptgerät ab, und schließen Sie das Ersatzgerät an.
Stellen Sie sicher, dass auf dem Ersatzgerät die gleiche Software- und ASDM-Version wie auf dem Sekundärgerät ausgeführt wird.
Führen Sie die folgenden Befehle auf der Ersatzeinheit aus:
ASA(config)#failover lan unit primary ASA(config)#failover lan interface failover Ethernet3 ASA(config)#failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2 ASA(config)#interface Ethernet3 ASA(config-if)#no shut ASA(config-if)#exit
Schließen Sie die primäre Ersatzeinheit an das Netzwerk an, und führen Sie den folgenden Befehl aus:
ASA(config)#failover
Wenn ein Failover auftritt, senden beide Sicherheits-Appliances Systemmeldungen. Dieser Abschnitt behandelt folgende Themen:
Die Sicherheits-Appliance gibt eine Reihe von Systemmeldungen zu Failover auf Prioritätsstufe 2 aus, was auf einen kritischen Zustand hinweist. Informationen zur Anzeige dieser Meldungen finden Sie in den Protokollkonfigurationen und Systemprotokollmeldungen der Cisco Security Appliance, um die Protokollierung zu aktivieren und Beschreibungen der Systemmeldungen anzuzeigen.
Hinweis: Bei einem Switchover wird die Failover-Funktion zunächst logisch heruntergefahren und dann die Schnittstellen aktiviert. Dadurch werden die Syslog-Meldungen 41001 und 41002 generiert. Dies ist normale Aktivität.
Diese Failover-Meldung wird angezeigt, wenn eine Einheit des Failover-Paars nicht mehr mit der anderen Einheit des Paars kommunizieren kann. Primary kann auch als Secondary für die Sekundäreinheit aufgeführt werden.
(Primär) Failover-Kommunikation mit Partner auf Schnittstellenname unterbrochen
Überprüfen Sie, ob das Netzwerk, das mit der angegebenen Schnittstelle verbunden ist, ordnungsgemäß funktioniert.
Um Debug-Meldungen anzuzeigen, geben Sie den Befehl debug fover ein. Weitere Informationen finden Sie in der Befehlsreferenz zur Cisco Security Appliance, Version 7.2.
Hinweis: Da der Debugausgabe im CPU-Prozess eine hohe Priorität zugewiesen wird, kann dies die Systemleistung erheblich beeinträchtigen. Verwenden Sie daher die Befehle debug fover nur, um bestimmte Probleme zu beheben, oder verwenden Sie die Fehlerbehebungssitzungen des technischen Supports von Cisco.
Um SNMP-Syslog-Traps für Failover zu empfangen, konfigurieren Sie den SNMP-Agenten so, dass er SNMP-Traps an SNMP-Verwaltungsstationen sendet, definieren Sie einen Syslog-Host, und kompilieren Sie die Cisco Syslog-MIB in Ihre SNMP-Verwaltungsstation. Weitere Informationen finden Sie unter den Befehlen snmp-server und logging in der Cisco Security Appliance-Befehlsreferenz, Version 7.2.
Um die Polling- und Haltezeiten der Failover-Einheit festzulegen, geben Sie den Befehl failover polltime im globalen Konfigurationsmodus ein.
Die Failover-Polltime-Einheit msec [time] stellt das Zeitintervall dar, in dem das Vorhandensein der Standby-Einheit durch das Polling von Hello-Nachrichten überprüft wird.
Ebenso stellt die Failoverhaltezeiteinheit msec [time] den Zeitraum dar, in dem eine Einheit eine Hello-Nachricht auf der Failoververbindung empfangen muss, nach dem die Peereinheit als ausgefallen deklariert wird.
Weitere Informationen finden Sie unter Failover Polltime.
Fehlermeldung:
Failover message decryption failure. Please make sure both units have the same failover shared key and crypto license or system is not out of memory
Dieses Problem tritt aufgrund der Failover-Schlüsselkonfiguration auf. Um dieses Problem zu beheben, entfernen Sie den Failoverschlüssel, und konfigurieren Sie den neuen freigegebenen Schlüssel.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
09-Apr-2007
|
Erstveröffentlichung |