PIX/ASA: Configuratie-voorbeeld van actief/actief failover

Downloadopties

  • PDF     (357.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:4 november 2009
Document-id:91336

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

De failover configuratie vereist twee identieke security applicaties die met elkaar verbonden zijn via een speciale failover link en, optioneel, een stateful failover link. De gezondheid van de actieve interfaces en eenheden wordt gecontroleerd om te bepalen of aan specifieke failover-voorwaarden wordt voldaan. Als aan deze voorwaarden wordt voldaan, vindt failover plaats.

Het security applicatie ondersteunt twee failover configuraties, Active/Active failover en Active/Standby failover. Elke failover-configuratie heeft zijn eigen methode om failover te bepalen en uit te voeren. Met Active/Active failover kunnen beide eenheden netwerkverkeer doorgeven. Hiermee kunt u taakverdeling op uw netwerk configureren. Active/Active failover is alleen beschikbaar op eenheden die in meerdere contextmodus werken. Met Active/Standby failover passeert slechts één unit verkeer terwijl de andere unit in een stand-by status wacht. Active/stand-by failover is beschikbaar op eenheden die in één of meerdere contextmodus werken. Beide failover-configuraties ondersteunen stateful of stateless (reguliere) failover.

Dit document concentreert zich op de manier waarop u een actieve/actieve failover kunt configureren in Cisco PIX/ASA security applicatie.

Raadpleeg het configuratievoorbeeld van PIX/ASA 7.x Active/Standby failover om meer informatie te krijgen over de Active/Standby failover-configuraties.

Opmerking: VPN-failover wordt niet ondersteund op eenheden die in meerdere contextmodus werken omdat VPN niet in meerdere contexten wordt ondersteund. VPN-failover is alleen beschikbaar voor Active/Standby failover-configuraties in enkelvoudige contextconfiguraties.

Deze configuratiegids biedt een voorbeeldconfiguratie met een korte inleiding tot de PIX/ASA 7.x Active/Active-technologie. Raadpleeg de opdrachtreferentie voor Cisco security applicatie, versie 7.2 voor een diepgaander begrip van de theorie die achter deze technologie is gebaseerd.

Voorwaarden

Vereisten

Hardware-eis

De twee eenheden in een failoverconfiguratie moeten dezelfde hardwareconfiguratie hebben. Ze moeten van hetzelfde model zijn, hetzelfde aantal en dezelfde soort interfaces hebben en dezelfde hoeveelheid RAM hebben.

Opmerking: de twee eenheden hoeven niet dezelfde grootte Flash geheugen te hebben. Als u eenheden met verschillende Flash-geheugenformaten in uw failover-configuratie gebruikt, zorg er dan voor dat de eenheid met het kleinere Flash-geheugen voldoende ruimte heeft om de software-beeldbestanden en de configuratiebestanden aan te passen. Als dit niet het geval is, zal de synchronisatie van de configuratie van de eenheid met het grotere Flash-geheugen naar de eenheid met het kleinere Flash-geheugen mislukken.

Softwarevereiste

De twee eenheden in een failoverconfiguratie moeten in de operationele modi zijn (routed of transparant, single of multiple context). Ze moeten dezelfde grote (eerste nummer) en kleine (tweede nummer) softwareversie hebben, maar u kunt verschillende versies van de software gebruiken binnen een upgradeproces; U kunt bijvoorbeeld één eenheid upgraden van Versie 7.0(1) naar Versie 7.0(2) en failover actief laten blijven. Cisco raadt u aan beide eenheden te upgraden naar dezelfde versie om de compatibiliteit op lange termijn te garanderen.

Raadpleeg Performing Zero Downtime Upgrades voor failover-paren voor meer informatie over het upgraden van de software op een failover-paar.

Licentievereisten

Op het platform van PIX/ASA security applicaties moet ten minste één van de eenheden een onbeperkte (UR) licentie hebben. De andere eenheid kan een failover Only Active-Active (FO_AA) licentie of een andere UR licentie hebben. Eenheden met een beperkte licentie kunnen niet worden gebruikt voor failover, en twee eenheden met FO_AA-licenties kunnen niet samen worden gebruikt als failover-paar.

Opmerking: mogelijk moet u de licenties op een failover-paar upgraden om extra functies en voordelen te verkrijgen. Raadpleeg voor meer informatie over upgrades de Licentiesleutel voor upgrade op een failover-paar

Opmerking: de gelicentieerde functies, zoals SSL VPN-peers of beveiligingscontexten, op beide beveiligingstoestellen die deelnemen aan failover, moeten identiek zijn.

Opmerking: de FO-licentie ondersteunt Active/Active failover niet.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • PIX security applicatie met 7.x versie en hoger

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Verwante producten

Deze configuratie kan ook worden gebruikt in combinatie met deze hardware- en softwareversies:

  • ASA met 7.x versie en hoger

Opmerking: actieve/actieve failover is niet beschikbaar voor de ASA 5505 Series adaptieve security applicatie.

Conventies

Raadpleeg de Cisco Technical Tips Conventions voor meer informatie over documentconventies.

Active/Active-failover

In deze sectie wordt Active/Standby failover beschreven en worden de volgende onderwerpen besproken:

Overzicht van active/actieve failover

Active/Active failover is alleen beschikbaar voor security applicaties in meerdere contextmodus. In een Active/Active failover-configuratie kunnen beide security applicaties netwerkverkeer doorgeven.

In Active/Active failover verdeelt u de beveiligingscontexten op het security apparaat in failovergroepen. Een failovergroep is gewoon een logische groep van een of meer beveiligingscontexten. U kunt maximaal twee failovergroepen maken op het security apparaat. De beheerderscontext is altijd lid van failover groep 1. Alle niet-toegewezen beveiligingscontexten zijn standaard ook lid van failover groep 1.

De failovergroep vormt de basiseenheid voor failover in Active/Active failover. Bewaking van interfacestoornissen, failover en active/stand-by-status zijn allemaal kenmerken van een failovergroep in plaats van de unit. Wanneer een actieve failover groep faalt, verandert het in de standby status terwijl de standby failover groep actief wordt. De interfaces in de failover groep die actief wordt veronderstellen de MAC- en IP-adressen van de interfaces in de failover groep die faalden. De interfaces in de failover groep die nu in de standby staat is nemen de standby MAC en IP adressen over.

Opmerking: een failovergroep die op een unit faalt, betekent niet dat de unit heeft gefaald. Het is mogelijk dat de unit nog een andere failover-groep heeft die verkeer doorgeeft.

Primaire/secundaire status en actieve/stand-by status

Zoals bij Active/Standby failover, wordt één eenheid in een Active/Active failover-paar aangewezen als de primaire eenheid, en de andere eenheid als de secundaire eenheid. In tegenstelling tot Active/Standby failover geeft deze aanduiding niet aan welke unit actief wordt wanneer beide eenheden tegelijkertijd starten. In plaats daarvan doet de primaire/secundaire aanduiding twee dingen:

  • Bepaalt welke eenheid de lopende configuratie aan het paar verstrekt wanneer zij gelijktijdig initialiseren.

  • Bepaalt op welke eenheid elke failover groep in de actieve staat verschijnt wanneer de eenheden gelijktijdig beginnen. Elke failover groep in de configuratie is geconfigureerd met een primaire of secundaire eenheidsvoorkeur. U kunt beide failovergroepen configureren in de actieve staat op één eenheid in het paar, waarbij de andere eenheid de failovergroepen in de stand-by staat bevat. Een meer typische configuratie is echter om elke failover groep een andere rolvoorkeur toe te wijzen om elke persoon actief te maken op een andere eenheid, waarbij het verkeer over de apparaten wordt verdeeld.

    Opmerking: het security apparaat biedt geen taakverdeling. Taakverdeling moet worden uitgevoerd door een router die verkeer naar het security apparaat doorgeeft.

Welke eenheid elke failovergroep actief wordt op wordt bepaald zoals getoond

  • Wanneer een eenheid opstart terwijl de peer-unit niet beschikbaar is, worden beide failover-groepen actief op de eenheid.

  • Wanneer een eenheid opstart terwijl de peer-eenheid actief is (met beide failover-groepen in de actieve toestand), blijven de failover-groepen in de actieve toestand op de actieve eenheid, ongeacht de primaire of secundaire voorkeur van de failover-groep, tot een van de volgende:

    • Er treedt een failover op.

    • U dwingt de failovergroep handmatig naar de andere unit met de opdracht geen failover actief

    • U hebt de failover-groep geconfigureerd met de pre-empt-opdracht, waardoor de failover-groep automatisch actief wordt op de voorkeurseenheid wanneer de eenheid beschikbaar wordt.

  • Wanneer beide eenheden tegelijkertijd opstarten, wordt elke failover groep actief op de voorkeurseenheid nadat de configuraties zijn gesynchroniseerd.

Synchronisatie van initialisatie en configuratie van apparaten

De synchronisatie van de configuratie gebeurt wanneer één of beide eenheden in een laars van het failoverpaar. De configuraties zijn gesynchroniseerd zoals aangegeven:

  • Wanneer een eenheid opstart terwijl de peer-eenheid actief is (met beide failover-groepen actief), neemt de opstarteenheid contact op met de actieve eenheid om de actieve configuratie te verkrijgen, ongeacht de primaire of secundaire aanduiding van de opstarteenheid.

  • Wanneer beide eenheden tegelijkertijd opstarten, verkrijgt de secundaire eenheid de lopende configuratie van de primaire eenheid.

Wanneer de replicatie wordt gestart, wordt op de console van het security apparaat op de eenheid die de configuratie verzendt, het bericht "Beginnende configuratie replicatie weergegeven: Verzenden naar partner" en als dit is voltooid, wordt op het security apparaat het bericht "End Configuration replication to mate" weergegeven. Tijdens replicatie is het mogelijk dat opdrachten die zijn ingevoerd op de eenheid die de configuratie verzendt, niet goed worden gerepliceerd naar de peer-eenheid, en opdrachten die zijn ingevoerd op de eenheid die de configuratie ontvangt, kunnen worden overschreven door de configuratie die wordt ontvangen. Vermijd het invoeren van opdrachten op een van beide eenheden in het failover-paar tijdens het configuratie-replicatieproces. Afhankelijk van de grootte van de configuratie, kan de replicatie van een paar seconden aan verscheidene minuten nemen.

Op de eenheid die de configuratie ontvangt, bestaat de configuratie alleen in actief geheugen. Om de configuratie op te slaan in het Flash-geheugen na synchronisatie, voert u de opdracht schrijfgeheugen in alle opdracht in de ruimte voor systeemuitvoering op de eenheid met failover-groep 1 in de actieve toestand. Het commando wordt gerepliceerd naar de peer unit, die vervolgens de configuratie naar Flash geheugen schrijft. Het gebruiken van het alle sleutelwoord met dit bevel veroorzaakt dat het systeem en alle contextconfiguraties worden opgeslagen.

Opmerking: opstartconfiguraties die op externe servers zijn opgeslagen, zijn toegankelijk vanaf elke eenheid via het netwerk en hoeven niet voor elke eenheid afzonderlijk te worden opgeslagen. U kunt ook de contextconfiguratiebestanden van de schijf op de primaire eenheid kopiëren naar een externe server en deze vervolgens naar de schijf op de secundaire eenheid kopiëren, waar ze beschikbaar komen wanneer de eenheid opnieuw wordt geladen.

Opdrachtreplicatie

Nadat beide eenheden actief zijn, worden opdrachten van de ene eenheid naar de andere gerepliceerd zoals aangegeven in de afbeelding:

  • Opdrachten die in een beveiligingscontext zijn ingevoerd, worden gerepliceerd van de eenheid waarop de beveiligingscontext in de actieve staat verschijnt, naar de peer-eenheid.

    Opmerking:  context wordt in de actieve toestand op een eenheid beschouwd als de failover-groep waartoe zij behoort zich in de actieve toestand op die eenheid bevindt.

  • Opdrachten die in de uitvoerruimte van het systeem zijn ingevoerd, worden gerepliceerd van de eenheid waarop failover-groep 1 zich in de actieve toestand bevindt, naar de eenheid waarop failover-groep 1 zich in de stand-by-stand bevindt.

  • Opdrachten die in de beheerderscontext zijn ingevoerd, worden gerepliceerd van de eenheid waarop failovergroep 1 zich in de actieve toestand bevindt, naar de eenheid waarop failovergroep 1 zich in de stand-by-stand bevindt.

Alle configuratie- en bestandsopdrachten (kopiëren, hernoemen, verwijderen, mkdir, rmdir enzovoort) worden gerepliceerd, met de volgende uitzonderingen. De opdrachten voor show, debug, mode, firewall en failover-LAN worden niet gerepliceerd.

Het nalaten om de bevelen op de aangewezen eenheid voor bevelreplicatie om in te gaan voor te komen veroorzaakt de configuraties om uit synchronisatie te zijn. Deze wijzigingen kunnen verloren gaan wanneer de configuratie opnieuw wordt gesynchroniseerd.

U kunt de opdracht schrijfstand-by gebruiken om configuraties die niet meer synchroon lopen, opnieuw te synchroniseren. Voor Active/Active failover gedraagt de schrijfstand-by opdracht zich zoals aangegeven:

  • Als u de opdracht schrijfstand-by invoert in de ruimte voor systeemuitvoering, worden de systeemconfiguratie en de configuraties voor alle beveiligingscontexten op het security apparaat naar de peer-eenheid geschreven. Dit omvat configuratie-informatie voor beveiligingscontexten die zich in de stand-by modus bevinden. U moet de opdracht invoeren in de ruimte voor systeemuitvoering op de eenheid met failover-groep 1 in de actieve staat.

    Opmerking: als er beveiligingscontexten zijn in de actieve status van de peer-unit, worden de actieve verbindingen via de schrijfstand-by opdracht beëindigd. Gebruik de opdracht failover active op de eenheid die de configuratie levert om ervoor te zorgen dat alle contexten op die eenheid actief zijn voordat u de opdracht schrijfstand invoert.

  • Als u de schrijfstandby-opdracht invoert in een beveiligingscontext, wordt alleen de configuratie voor de beveiligingscontext naar de peer-unit geschreven. U moet de opdracht invoeren in de veiligheidscontext op de eenheid waar de veiligheidscontext in de actieve staat wordt weergegeven.

Herhaalde opdrachten worden niet opgeslagen in het Flash-geheugen wanneer ze worden gerepliceerd naar de peer-unit. Zij worden toegevoegd aan de lopende configuratie. Om herhaald commando's op te slaan naar Flash geheugen op beide eenheden, gebruik het schrijfgeheugen of kopieer het opstart-configuratie opstartconfiguratie commando op de eenheid waarop u de wijzigingen hebt aangebracht. De opdracht wordt gerepliceerd naar de peer-unit en zorgt ervoor dat de configuratie wordt opgeslagen in Flash-geheugen op de peer-unit.

failover-triggers

Bij Active/Active failover kan failover op eenheidsniveau worden geactiveerd als een van de volgende gebeurtenissen zich voordoet:

  • De unit heeft een hardwarestoring.

  • Het apparaat heeft een stroomuitval.

  • De eenheid heeft een softwarefout.

  • De opdracht geen failover actief of failover actief wordt ingevoerd in de ruimte voor systeemuitvoering.

Failover wordt op het niveau van de failover-groep geactiveerd wanneer een van deze gebeurtenissen zich voordoet:

  • Teveel gecontroleerde interfaces in de groep mislukken.

  • De opdracht no failover active group_id of failover active group_id wordt ingevoerd.

failover-acties

In een Active/Active failover-configuratie vindt failover plaats op basis van een failover-groep, niet op systeembasis. Als u bijvoorbeeld beide failovergroepen aanwijst als actief op de primaire eenheid, en failovergroep 1 mislukt, blijft failovergroep 2 actief op de primaire eenheid terwijl failovergroep 1 actief wordt op de secundaire eenheid.

N.B.: Zorg er bij het configureren van Active/Active failover voor dat het gecombineerde verkeer voor beide eenheden binnen de capaciteit van elke eenheid valt.

Deze tabel toont de failover-actie voor elke storingsgebeurtenis. Voor elke storingsgebeurtenis, worden het beleid (al dan niet failover), acties voor de actieve failovergroep, en acties voor de standby failover groep gegeven.

Falen Beleid Actieve groepsactie Handeling in de standby-groep Opmerkingen
Een eenheid ervaart een stroom- of softwarestoring failover Stand-by markering worden als mislukt Word stand-by. Markeren als actief mislukt Wanneer een eenheid in een failover-paar uitvalt, worden alle actieve failover-groepen op die eenheid gemarkeerd als mislukt en worden ze actief op de peer-eenheid.
Interfacefout bij actieve failover-groep boven drempelwaarde failover Een actieve groep als mislukt markeren Actief worden None
Interfacestoring op standby failover-groep boven drempelwaarde Geen failover Geen actie Stand-by groep markeren als mislukt Wanneer de standby failover groep is gemarkeerd als mislukt, probeert de actieve failover groep niet om over te vallen, zelfs als de drempel van de interfacestoring is overschreden.
Vroeger actieve failover-groep herstelt Geen failover Geen actie Geen actie Tenzij geconfigureerd met de pre-commando blijven de failovergroepen actief op hun huidige unit.
failover-link is mislukt bij opstarten Geen failover Actief worden Actief worden Als de failover link bij opstarten is uitgeschakeld, worden beide failover groepen op beide eenheden actief.
Stateful failover-link is mislukt Geen failover Geen actie Geen actie Statusinformatie wordt verouderd en sessies worden beëindigd als er een failover optreedt.
failover-link is mislukt tijdens gebruik Geen failover N.v.t. N.v.t. Elke eenheid geeft aan dat de failover-interface is mislukt. U dient de failover link zo snel mogelijk te herstellen, omdat de unit niet kan overschakelen naar de stand-by unit terwijl de failover link is uitgeschakeld.

Regelmatige en stateful failover

Het security apparaat ondersteunt twee typen failover, regelmatig en stateful. Deze sectie omvat deze onderwerpen:

Reguliere failover

Wanneer een failover optreedt, worden alle actieve verbindingen verbroken. Clients moeten de verbindingen opnieuw tot stand brengen wanneer de nieuwe actieve eenheid overneemt.

Stateful failover

Als stateful failover is ingeschakeld, geeft de actieve unit voortdurend informatie over de status per verbinding door aan de standby-unit. Nadat een failover is opgetreden, is dezelfde verbindingsinformatie beschikbaar op de nieuwe actieve unit. Ondersteunde eindgebruikerstoepassingen hoeven niet opnieuw verbinding te maken om dezelfde communicatiesessie te houden.

De aan de standby-unit doorgegeven statusinformatie omvat de volgende elementen:

  • De NAT-vertaaltabel

  • De TCP-verbindingsstatus

  • De UDP-verbindingsstaten

  • De ARP-tabel

  • Layer 2-overbruggingstabel (wanneer deze in de transparante firewallmodus wordt uitgevoerd)

  • De HTTP-verbindingsstaten (als HTTP-replicatie is ingeschakeld)

  • De ISAKMP- en IPSec SA-tabel

  • De GTP PDP-verbindingsdatabase

De informatie die niet wordt doorgegeven aan de stand-by unit wanneer stateful failover is ingeschakeld, bevat de volgende informatie:

  • De HTTP-verbindingstabel (tenzij HTTP-replicatie is ingeschakeld)

  • De tabel met gebruikersverificatie (wachtrij)

  • De routingtabellen

  • Overheidsinformatie voor veiligheidsdienstmodules

Opmerking:  Als failover optreedt binnen een actieve Cisco IP SoftPhone-sessie, blijft de oproep actief omdat de statusinformatie van de gesprekssessie wordt gerepliceerd naar de stand-by-eenheid. Wanneer de oproep wordt beëindigd, verliest de IP SoftPhone-client de verbinding met Call Manager. Dit gebeurt omdat er geen sessieinformatie is voor het CTIQBE hang-upbericht op de standby-unit. Wanneer de IP SoftPhone-client geen reactie van de Call Manager binnen een bepaalde tijdsperiode ontvangt, beschouwt hij de Call Manager als onbereikbaar en maakt hij zich niet geregistreerd.

Beperkingen van failover-configuratie

U kunt failover niet configureren met deze typen IP-adressen:

  • IP-adressen verkregen via DHCP

  • IP-adressen verkregen via PPPoE

  • IPv6-adressen

Bovendien zijn deze beperkingen van toepassing:

  • Stateful failover wordt niet ondersteund op het ASA 5505 adaptieve security applicatie.

  • Active/Active-failover wordt niet ondersteund op het ASA 5505 adaptieve security applicatie.

  • U kunt failover niet configureren wanneer Easy VPN Remote is ingeschakeld op het ASA 5505 adaptieve security applicatie.

  • VPN-failover wordt niet ondersteund in meervoudige contextmodus.

Niet-ondersteunde functies

De meervoudige contextmodus ondersteunt deze functies niet:

  • Dynamische routeringsprotocollen

    Beveiligingscontexten ondersteunen alleen statische routes. U kunt OSPF of RIP niet in meervoudige contextmodus inschakelen.

  • VPN

  • Multicast

Kabelgebaseerde actieve/actieve failover-configuratie

Voorwaarden

Voordat u begint, moet u het volgende controleren:

  • Beide eenheden hebben dezelfde hardware, dezelfde softwareconfiguratie en dezelfde licentie.

  • Beide eenheden bevinden zich in dezelfde modus (enkelvoudig of meervoudig, transparant of gerouteerd).

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

pix-activeactive-config1.gif

Volg deze stappen om Active/Active failover te configureren met behulp van een seriële kabel als failover link. De opdrachten in deze taak worden ingevoerd op de primaire eenheid in het failover-paar. De primaire eenheid is de eenheid waarvan het uiteinde van de kabel is voorzien van het label "Primary" (Primair). Voor apparaten in een meervoudige contextmodus, worden de opdrachten ingevoerd in de ruimte voor systeemuitvoering, tenzij anders wordt aangegeven.

U hoeft de secundaire eenheid in het failover-paar niet te bootstrap wanneer u op kabel gebaseerde failover gebruikt. Laat de secundaire eenheid uitzetten totdat u wordt geïnstrueerd deze in te schakelen.

Opmerking: kabelgebaseerde failover is alleen beschikbaar op het security apparaat van de PIX 500 Series.

Voltooi deze stappen om op kabel gebaseerde, actieve/actieve failover te configureren:

  1. Sluit de failover-kabel aan op de beveiligingsapparaten uit de PIX 500-serie. Zorg ervoor dat u het uiteinde van de kabel met de markering "Primair" aansluit op het apparaat dat u als primaire eenheid gebruikt en dat u het uiteinde van de kabel met de markering "Secundair" aansluit op het apparaat dat u als secundaire eenheid gebruikt.

  2. Schakel de primaire eenheid in.

  3. Als u dit nog niet hebt gedaan, configureer dan de actieve en stand-by IP-adressen voor elke data-interface (routed mode), voor het IP-adres voor beheer (transparante modus) of voor de interface die alleen beheer mogelijk maakt. Het standby IP-adres wordt gebruikt op het security apparaat dat op dit moment de standby-eenheid is. Het moet zich in hetzelfde subnetje bevinden als het actieve IP-adres.

    U moet de interfaceadressen van binnen elke context vormen. Gebruik de opdracht Context wijzigen in switch tussen contexten. De opdrachtprompt verandert in hostname/context (config-if)#, waar context de naam is van de huidige context. U moet een IP-adres voor beheer invoeren voor elke context in een transparante firewall met meerdere contextmodi.

    Opmerking: configureer geen IP-adres voor de Stateful failover-link als u een speciale Stateful failover-interface gaat gebruiken. U gebruikt de ip-opdracht van de failover-interface om in een latere stap een speciale Stateful failover-interface te configureren.

    hostname/context(config-if)#ip address active_addr netmask 
                                   standby standby_addr

    In het voorbeeld wordt de buiteninterface voor context1 van de primaire PIX op deze manier geconfigureerd:

    PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0 
                                    standby 172.16.1.2

    Voor Context2:

    PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0 
                                       standby 192.168.2.2

    In de Routed Firewall-modus en voor de interface met alleen beheer wordt deze opdracht ingevoerd in de interfaceconfiguratiemodus voor elke interface. In de modus Transparant firewall wordt de opdracht in de globale configuratiemodus ingevoerd.

  4. Om Stateful failover in te schakelen, dient u de Stateful failover-link te configureren.

    1. Specificeer de interface die moet worden gebruikt als stateful failover-link:

      hostname(config)#failover link if_name phy_if

      In dit voorbeeld wordt de Ethernet2-interface gebruikt om de stateful failover link state-informatie uit te wisselen.

      failover link stateful Ethernet2

      Het if_name argument wijst een logische naam toe aan de interface die gespecificeerd wordt door het phy_if argument. Het phy_if argument kan de fysieke poortnaam zijn, zoals Ethernet1, of een eerder gemaakte subinterface, zoals Ethernet0/2.3. Deze interface moet niet voor een ander doel worden gebruikt (behalve, optioneel, de failover link).

    2. Wijs een actief en standby IP-adres toe aan de Stateful failover-link:

      hostname(config)#failover interface ip if_name ip_addr 
                               mask standby ip_addr

      In dit voorbeeld, wordt 10.0.0.1 gebruikt als actief, en 10.0.0.2 wordt gebruikt als standby IP adres voor de stateful failover link.

      PIX1(config)#failover interface ip stateful 10.0.0.1 
                    255.255.255.0 standby 10.0.0.2

      Het IP-adres voor stand-by moet in hetzelfde substraat staan als het actieve IP-adres. U hoeft het standby IP-adressubnetmasker niet te identificeren.

      Het Stateful failover link IP-adres en het MAC-adres veranderen niet bij failover, behalve wanneer Stateful failover een reguliere gegevensinterface gebruikt. Het actieve IP-adres blijft altijd bij de primaire eenheid, terwijl het standby IP-adres bij de secundaire eenheid blijft.

    3. Schakel de interface in:

      hostname(config)#interface phy_if

hostname(config-if)#no shutdown

  5. Configureer de failovergroepen. Je kan maximaal twee failover groepen hebben. Het bevel van de failovergroep leidt tot de gespecificeerde failovergroep als het niet bestaat en gaat de failover groepsconfiguratiewijze in.

    Voor elke failover groep, moet u specificeren of de failover groep primaire of secundaire voorkeur heeft die de primaire of secundaire opdracht gebruikt. U kunt dezelfde voorkeur toewijzen aan beide failover-groepen. Voor configuraties voor taakverdeling moet u aan elke failover-groep een andere eenheidsvoorkeur toewijzen.

    In het volgende voorbeeld wordt aan failovergroep 1 een primaire voorkeur en aan failovergroep 2 een secundaire voorkeur toegekend:

    hostname(config)#failover group 1
hostname(config-fover-group)#primary
hostname(config-fover-group)#exit
hostname(config)#failover group 2
hostname(config-fover-group)#secondary
hostname(config-fover-group)#exit

  6. Wijs elke gebruikerscontext toe aan een failover groep met de opdracht joint-failover-group in de contextconfiguratiemodus.

    Alle niet-toegewezen contexten worden automatisch toegewezen aan failover groep 1. De beheerderscontext is altijd een lid van failover groep 1.

    Voer deze opdrachten in om elke context aan een failover-groep toe te wijzen:

    hostname(config)#context context_name

hostname(config-context)#join-failover-group {1 | 2}
hostname(config-context)#exit

  7. failover inschakelen:

    hostname(config)#failover

  8. Schakel de secundaire eenheid in en schakel de failover op de eenheid in als deze nog niet is ingeschakeld:

    hostname(config)#failover

    De actieve eenheid verzendt de configuratie in actief geheugen naar de standby-eenheid. Aangezien de configuratie synchroniseert, de berichten "Beginnende configuratie replicatie: Op de primaire console verschijnen "Sending to mate" en "End Configuration Replication to mate".

    Opmerking: geef eerst de failover-opdracht op het primaire apparaat uit en geef deze vervolgens op het secundaire apparaat uit. Nadat u de failover-opdracht op het secundaire apparaat hebt gegeven, haalt het secundaire apparaat onmiddellijk de configuratie uit het primaire apparaat en zet het zichzelf in de stand-by modus. De primaire ASA blijft omhoog en passeert normaal verkeer en markeert zichzelf als het actieve apparaat. Vanaf dat punt, wanneer een mislukking op het actieve apparaat voorkomt, komt het standby apparaat omhoog als actief.

  9. Sla de configuratie op in Flash-geheugen op de primaire eenheid. Omdat de opdrachten die op de primaire eenheid zijn ingevoerd, worden gerepliceerd naar de secundaire eenheid, slaat de secundaire eenheid ook de configuratie op in Flash-geheugen.

    hostname(config)#copy running-config startup-config

  10. Forceer indien nodig een failover groep die actief is op de primaire naar de actieve toestand op de secundaire. Om een failovergroep te dwingen actief te worden op de secundaire eenheid, geef deze opdracht in de systeemuitvoeringsruimte op de primaire eenheid uit:

    hostname#no failover active group group_id

    Het group_id argument geeft de groep aan die je actief wilt worden op de secondaire unit.

Configuraties

Dit document gebruikt de volgende configuraties:

PIX1 - Systeemconfiguratie 
PIX1#show running-config
: Saved
PIX Version 7.2(2) 
!
hostname PIX1
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto


!--- Enable the physical and logical interfaces in the system execution !--- space by giving "no shutdown" before configuring the same in the contexts

!
interface Ethernet0
!
interface Ethernet0.1
 vlan 2
!
interface Ethernet0.2
 vlan 4
!
interface Ethernet1
!
interface Ethernet1.1
 vlan 3
!
interface Ethernet1.2
 vlan 5
!

!--- Configure "no shutdown" in the stateful failover interface !--- of both Primary and secondary PIX.

interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 shutdown
!
interface Ethernet4
 shutdown
!
interface Ethernet5
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24

!--- Command to enable the failover feature

failover

!--- Command to assign the interface for stateful failover

failover link stateful Ethernet2

!--- Command to configure the active and standby IP's for the !--- stateful failover

failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2

!--- Configure the group 1 as primary

failover group 1

!--- Configure the group 1 as secondary

failover group 2
  secondary
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  config-url flash:/admin.cfg
!

!--- Command to create a context called "context1"

context context1

!--- Command to allocate the logical interfaces to the contexts

  allocate-interface Ethernet0.1 inside_context1
  allocate-interface Ethernet1.1 outside_context1
  config-url flash:/context1.cfg

!--- Assign this context to the failover group 1

  join-failover-group 1
!

context context2
  allocate-interface Ethernet0.2 inside_context2
  allocate-interface Ethernet1.2 outside_context2
  config-url flash:/context2.cfg
  join-failover-group 2
!

prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

PIX1 - Configuratie context1 
PIX1/context1(config)#show running-config
: Saved
:
PIX Version 7.2(2) 
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside_context1
 nameif inside
 security-level 100

!--- Configure the active and standby IP's for the logical inside !--- interface of the context1.

 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!
interface outside_context1
 nameif outside
 security-level 0

!--- Configure the active and standby IP's for the logical outside !--- interface of the context1.

 ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list 100 extended permit tcp any host 172.16.1.1 eq www
pager lines 24
mtu inside 1500
mtu outside 1500
monitor-interface inside
monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (inside,outside) 172.16.1.1 192.168.1.5 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

Configuratie PIX1 - Context2 
PIX1/context2(config)#show running-config
: Saved
:
PIX Version 7.2(2) 
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside_context2
 nameif inside
 security-level 100

!--- Configure the active and standby IP's for the logical inside !--- interface of the context2.

 ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
!
interface outside_context2
 nameif outside
 security-level 0

!--- Configure the active and standby IP's for the logical outside !--- interface of the context2.

 ip address 172.16.2.1 255.255.255.0 standby 172.16.2.2
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list 100 extended permit tcp any host 172.16.2.1 eq www
pager lines 24
mtu inside 1500
mtu outside 1500
monitor-interface inside
monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (inside,outside) 172.16.2.1 192.168.2.5 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.2.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

LAN-gebaseerde configuratie van actief/actief failover

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

pix-activeactive-config2.gif

In deze sectie wordt beschreven hoe u Active/Active failover kunt configureren met behulp van een Ethernet-failover-link. Bij het configureren van LAN-gebaseerde failover, moet u het secundaire apparaat opstarten om de failover link te herkennen voordat het secundaire apparaat de actieve configuratie kan verkrijgen van het primaire apparaat.

N.B.: In plaats van een cross-over Ethernet-kabel te gebruiken om de eenheden rechtstreeks te koppelen, raadt Cisco u aan een speciale switch tussen de primaire en de secundaire eenheden te gebruiken.

Deze sectie omvat de onderwerpen zoals getoond:

Configuratie van primaire eenheid

Voltooi deze stappen om de primaire eenheid in een Active/Active failover-configuratie te configureren:

  1. Als u dit nog niet hebt gedaan, configureer dan de actieve en stand-by IP-adressen voor elke data-interface (routed mode), voor het IP-adres voor beheer (transparante modus) of voor de interface die alleen beheer mogelijk maakt. Het standby IP-adres wordt gebruikt op het security apparaat dat op dit moment de standby-eenheid is. Het moet zich in hetzelfde subnetje bevinden als het actieve IP-adres.

    U moet de interfaceadressen van binnen elke context vormen. Gebruik de opdracht Context wijzigen in switch tussen contexten. De opdrachtprompt verandert in hostname/context (config-if)#, waar context de naam is van de huidige context. In de transparante firewallmodus moet u voor elke context een IP-adres voor beheer invoeren.

    Opmerking: configureer geen IP-adres voor de Stateful failover-link als u een speciale Stateful failover-interface gaat gebruiken. U gebruikt de ip-opdracht van de failover-interface om in een latere stap een speciale Stateful failover-interface te configureren.

    hostname/context(config-if)#ip address active_addr netmask 
                                   standby standby_addr

    In het voorbeeld wordt de buiteninterface voor context1 van de primaire PIX op deze manier geconfigureerd:

    PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0 
                                     standby 172.16.1.2

    Voor Context2:

    PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0 
                                     standby 192.168.2.2

    In de Routed Firewall-modus en voor de interface met alleen beheer wordt deze opdracht ingevoerd in de interfaceconfiguratiemodus voor elke interface. In de modus Transparant firewall wordt de opdracht in de globale configuratiemodus ingevoerd.

  2. Configureer de fundamentele failover-parameters in de ruimte voor systeemuitvoering.

    1. (Alleen PIX security applicatie) Schakel LAN-gebaseerde failover in:

      hostname(config)#failover lan enable

    2. Wijs de eenheid als primaire eenheid aan:

      hostname(config)#failover lan unit primary

    3. Specificeer de failover link:

      hostname(config)#failover lan interface if_name phy_if

      In dit voorbeeld gebruiken we de interface Ethernet 3 als LAN-gebaseerde failover-interface.

      PIX1(config)#failover lan interface LANFailover ethernet3

      Het if_name argument wijst een logische naam toe aan de interface die gespecificeerd wordt door het phy_if argument. Het phy_if argument kan de fysieke poortnaam zijn, zoals Ethernet1, of een eerder gemaakte subinterface, zoals Ethernet0/2.3. Op het ASA 5505 adaptieve security applicatie, specificeert phy_if een VLAN. Deze interface zou niet voor een ander doel moeten worden gebruikt (behalve, naar keuze, de Stateful failover link).

    4. Specificeer de actieve en standby IP-adressen van de failoverlink:

      hostname(config)#failover interface ip if_name ip_addr 
                               mask standby ip_addr

      Bij dit voorbeeld gebruiken we 10.1.0.1 als actief en 10.1.0.2 als standby IP-adressen voor failover-interface.

      PIX1(config)#failover interface ip LANFailover 
      10.1.0.1 255.255.255.0 standby 10.1.0.2

      Het IP-adres voor stand-by moet in hetzelfde substraat staan als het actieve IP-adres. U hoeft het standby IP-adressubnetmasker niet te identificeren. Het IP-adres van de failover-link en het MAC-adres veranderen niet bij failover. Het actieve IP-adres blijft altijd bij de primaire eenheid, terwijl het standby IP-adres bij de secundaire eenheid blijft.

  3. Als u Stateful failover wilt inschakelen, configureert u de Stateful failover-link:

    1. Specificeer de interface die moet worden gebruikt als stateful failover-link:

      hostname(config)#failover link if_name phy_if


      PIX1(config)#failover link stateful ethernet2

      Het if_name argument wijst een logische naam toe aan de interface die gespecificeerd wordt door het phy_if argument. Het phy_if argument kan de fysieke poortnaam zijn, zoals Ethernet1, of een eerder gemaakte subinterface, zoals Ethernet0/2.3. Deze interface moet niet voor een ander doel worden gebruikt (behalve, optioneel, de failover link).

      Opmerking: Als de Stateful failover link de failover link of een reguliere data-interface gebruikt, dan hoeft u alleen het if_name argument te leveren.

    2. Wijs een actief en standby IP-adres toe aan de Stateful failover-link.

      Opmerking: als de Stateful failover-link de failover-link of een reguliere data-interface gebruikt, sla deze stap over. U hebt de actieve en standby IP-adressen voor de interface al gedefinieerd.

      hostname(config)#failover interface ip if_name ip_addr 
                               mask standby ip_addr


      PIX1(config)#failover interface ip stateful 10.0.0.1 
                    255.255.255.0 standby 10.0.0.2

      Het IP-adres voor stand-by moet in hetzelfde substraat staan als het actieve IP-adres. U hoeft het standby-adressubnetmasker niet te identificeren. Het IP-adres van de staatslink en het MAC-adres veranderen niet bij failover. Het actieve IP-adres blijft altijd bij de primaire eenheid, terwijl het standby IP-adres bij de secundaire eenheid blijft.

    3. Schakel de interface in.

      Opmerking: als de Stateful failover-link de failover-link of de reguliere data-interface gebruikt, sla deze stap over. U hebt de interface al ingeschakeld.

      hostname(config)#interface phy_if

hostname(config-if)#no shutdown

  4. Configureer de failovergroepen. Je kan maximaal twee failover groepen hebben. Het bevel van de failovergroep leidt tot de gespecificeerde failovergroep als het niet bestaat en gaat de failover groepsconfiguratiewijze in.

    Geef voor elke failover-groep aan of de failover-groep primaire of secundaire voorkeur heeft via de primaire of secundaire opdracht. U kunt dezelfde voorkeur toewijzen aan beide failover-groepen. Voor configuraties voor taakverdeling moet u aan elke failover-groep een andere eenheidsvoorkeur toewijzen.

    In het volgende voorbeeld wordt aan failovergroep 1 een primaire voorkeur en aan failovergroep 2 een secundaire voorkeur toegekend:

    hostname(config)#failover group 1
hostname(config-fover-group)#primary
hostname(config-fover-group)#exit
hostname(config)#failover group 2
hostname(config-fover-group)#secondary
hostname(config-fover-group)#exit

  5. Wijs elke gebruikerscontext toe aan een failover groep met de opdracht joint-failover-group in de contextconfiguratiemodus.

    Alle niet-toegewezen contexten worden automatisch toegewezen aan failover groep 1. De beheerderscontext is altijd een lid van failover groep 1.

    Voer deze opdrachten in om elke context aan een failover-groep toe te wijzen:

    hostname(config)#context context_name

hostname(config-context)#join-failover-group {1 | 2}
hostname(config-context)#exit

  6. Schakel failover in.

    hostname(config)#failover

Configuratie secundaire eenheid

Bij het configureren van LAN-gebaseerde Active/Active failover, moet u de secundaire unit opstarten om de failover link te herkennen. Hierdoor kan de secundaire eenheid communiceren met en de actieve configuratie ontvangen van de primaire eenheid.

Voltooi deze stappen om de secundaire eenheid in een Active/Active failover-configuratie op te starten:

  1. (Alleen PIX security applicatie) Schakel LAN-gebaseerde failover in.

    hostname(config)#failover lan enable

  2. Definieer de failover-interface. Gebruik dezelfde instellingen als voor de primaire eenheid:

    1. Specificeer de interface die als failoverinterface moet worden gebruikt.

      hostname(config)#failover lan interface if_name phy_if


      PIX1(config)#failover lan interface LANFailover ethernet3

      Het if_name argument wijst een logische naam toe aan de interface die gespecificeerd wordt door het phy_if argument. Het phy_if argument kan de fysieke poortnaam zijn, zoals Ethernet1, of een eerder gemaakte subinterface, zoals Ethernet0/2.3. Op het ASA 5505 adaptieve security applicatie, specificeert phy_if een VLAN.

    2. Wijs het actieve en standby IP-adres toe aan de failover-link:

      hostname(config)#failover interface ip if_name ip_addr 
                               mask standby ip_addr


      PIX1(config)#failover interface ip LANFailover 10.1.0.1 
                       255.255.255.0 standby 10.1.0.2

      Opmerking: Voer deze opdracht precies in zoals u deze op de primaire unit hebt ingevoerd toen u de failover-interface hebt geconfigureerd.

      Het IP-adres voor stand-by moet in hetzelfde substraat staan als het actieve IP-adres. U hoeft het standby-adressubnetmasker niet te identificeren.

    3. Schakel de interface in.

      hostname(config)#interface phy_if

hostname(config-if)#no shutdown

  3. Wijs deze eenheid aan als de secundaire eenheid:

    hostname(config)#failover lan unit secondary

    Opmerking: deze stap is optioneel omdat standaardeenheden worden aangeduid als secundair, tenzij eerder anders ingesteld.

  4. Schakel failover in.

    hostname(config)#failover

    Nadat u failover hebt ingeschakeld, verstuurt de actieve eenheid de configuratie in het actieve geheugen naar de stand-by-eenheid. Aangezien de configuratie synchroniseert, beginnen de berichten configuratiereplicatie: Op de actieve eenheidsconsole verschijnen configuratiereplicaties voor verzending naar partner en end-configuratiereplicatie voor partner.

    Opmerking: geef eerst de failover-opdracht op het primaire apparaat uit en geef deze vervolgens op het secundaire apparaat uit. Nadat u de failover-opdracht op het secundaire apparaat hebt gegeven, haalt het secundaire apparaat onmiddellijk de configuratie uit het primaire apparaat en zet het zichzelf in de stand-by modus. De primaire ASA blijft omhoog en passeert normaal verkeer en markeert zichzelf als het actieve apparaat. Vanaf dat punt, wanneer een mislukking op het actieve apparaat voorkomt, komt het standby apparaat omhoog als actief.

  5. Nadat de actieve configuratie replicatie heeft voltooid, voert u deze opdracht in om de configuratie op te slaan in Flash-geheugen:

    hostname(config)#copy running-config startup-config

  6. Forceer indien nodig een failovergroep die actief is op de primaire naar de actieve toestand op de secundaire eenheid. Om een failovergroep te dwingen actief te worden op de secundaire eenheid, moet u deze opdracht invoeren in de ruimte voor systeemuitvoering op de primaire eenheid: 

    hostname#no failover active group group_id

    Het group_id argument geeft de groep aan die je actief wilt worden op de secondaire unit.

Configuraties

Dit document gebruikt de volgende configuraties:

Primaire PIX 
PIX1(config)#show running-config
: Saved
:
PIX Version 7.2(2) <system>
!
hostname PIX1
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0
!
interface Ethernet0.1
 vlan 2
!
interface Ethernet0.2
 vlan 4
!
interface Ethernet1
!
interface Ethernet1.1
 vlan 3
!
interface Ethernet1.2
 vlan 5
!

!--- Configure "no shutdown" in the stateful failover interface as well as !--- LAN Failover interface of both Primary and secondary PIX/ASA.

interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 description LAN Failover Interface
!
interface Ethernet4
 shutdown
!
interface Ethernet5
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
failover
failover lan unit primary

!--- Command to assign the interface for LAN based failover

failover lan interface LANFailover Ethernet3

!--- Command to enable the LAN based failover

failover lan enable

!--- Configure the Authentication/Encryption key

failover key *****
failover link stateful Ethernet2

!--- Configure the active and standby IP's for the LAN based failover

failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2
failover group 1
failover group 2
  secondary
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  config-url flash:/admin.cfg
!

context context1
  allocate-interface Ethernet0.1 inside_context1
  allocate-interface Ethernet1.1 outside_context1
  config-url flash:/context1.cfg
  join-failover-group 1
!

context context2
  allocate-interface Ethernet0.2 inside_context2
  allocate-interface Ethernet1.2 outside_context2
  config-url flash:/context2.cfg
  join-failover-group 2
!

prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

N.B.: Raadpleeg de op kabel gebaseerde failover Configuration-sectie, PIX1 - Context1 Configuration en PIX1 - Context2 Configuration voor contextconfiguratie in LAN-gebaseerd failover-scenario.

Secundaire PIX 
PIX2#show running-config 

failover
failover lan unit secondary
failover lan interface LANFailover Ethernet3
failover lan enable
failover key *****
failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2

Verifiëren

Gebruik van de show failover Command

In deze paragraaf wordt de show failover opdrachtoutput beschreven. Op elke eenheid, kunt u de failoverstatus met de opdracht show failover verifiëren.

Primaire PIX 

PIX1(config-subif)#show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: LANFailover Ethernet3 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 7.2(2), Mate 7.2(2)
Group 1 last failover at: 06:12:45 UTC Apr 16 2007
Group 2 last failover at: 06:12:43 UTC Apr 16 2007

  This host:    Primary
  Group 1       State:          Active
                Active time:    359610 (sec)
  Group 2       State:          Standby Ready
                Active time:    3165 (sec)

                  context1 Interface inside (192.168.1.1): Normal
                  context1 Interface outside (172.16.1.1): Normal
                  context2 Interface inside (192.168.2.2): Normal
                  context2 Interface outside (172.16.2.2): Normal

  Other host:   Secondary
  Group 1       State:          Standby Ready
                Active time:    0 (sec)
  Group 2       State:          Active
                Active time:    3900 (sec)

                  context1 Interface inside (192.168.1.2): Normal
                  context1 Interface outside (172.16.1.2): Normal
                  context2 Interface inside (192.168.2.1): Normal
                  context2 Interface outside (172.16.2.1): Normal

Stateful Failover Logical Update Statistics
        Link : stateful Ethernet2 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         48044      0          48040      1
        sys cmd         48042      0          48040      1
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         2          0          0          0
        Xlate_Timeout   0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       72081
        Xmit Q:         0       1       48044

Secundaire PIX 

PIX1(config)#show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Secondary
Failover LAN Interface: LANFailover Ethernet3 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 7.2(2), Mate 7.2(2)
Group 1 last failover at: 06:12:46 UTC Apr 16 2007
Group 2 last failover at: 06:12:41 UTC Apr 16 2007

  This host:    Secondary
  Group 1       State:          Standby Ready
                Active time:    0 (sec)
  Group 2       State:          Active
                Active time:    3975 (sec)

                  context1 Interface inside (192.168.1.2): Normal
                  context1 Interface outside (172.16.1.2): Normal
                  context2 Interface inside (192.168.2.1): Normal
                  context2 Interface outside (172.16.2.1): Normal

  Other host:   Primary
  Group 1       State:          Active
                Active time:    359685 (sec)
  Group 2       State:          Standby Ready
                Active time:    3165 (sec)

                  context1 Interface inside (192.168.1.1): Normal
                  context1 Interface outside (172.16.1.1): Normal
                  context2 Interface inside (192.168.2.2): Normal
                  context2 Interface outside (172.16.2.2): Normal

Stateful Failover Logical Update Statistics
        Link : stateful Ethernet2 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         940        0          942        2
        sys cmd         940        0          940        2
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          2          0
        Xlate_Timeout   0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       1419
        Xmit Q:         0       1       940

Gebruik het bevel van de show failover staat om de staat te verifiëren.

Primaire PIX 

PIX1(config)#show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
    Group 1    Active         None
    Group 2    Standby Ready  None
Other host -   Secondary
    Group 1    Standby Ready  None
    Group 2    Active         None

====Configuration State===
        Sync Done
====Communication State===
        Mac set

Secundaire eenheid 

PIX1(config)#show failover state

               State          Last Failure Reason      Date/Time
This host  -   Secondary
    Group 1    Standby Ready  None
    Group 2    Active         None
Other host -   Primary
    Group 1    Active         None
    Group 2    Standby Ready  None

====Configuration State===
        Sync Done - STANDBY
====Communication State===
        Mac set

Om de IP-adressen van de failover-unit te verifiëren, gebruikt u de opdracht failover interface show.

Primaire eenheid 

PIX1(config)#show failover interface
        interface stateful Ethernet2
                System IP Address: 10.0.0.1 255.255.255.0
                My IP Address    : 10.0.0.1
                Other IP Address : 10.0.0.2
        interface LANFailover Ethernet3
                System IP Address: 10.1.0.1 255.255.255.0
                My IP Address    : 10.1.0.1
                Other IP Address : 10.1.0.2

Secundaire eenheid 

PIX1(config)#show failover interface
        interface LANFailover Ethernet3
                System IP Address: 10.1.0.1 255.255.255.0
                My IP Address    : 10.1.0.2
                Other IP Address : 10.1.0.1
        interface stateful Ethernet2
                System IP Address: 10.0.0.1 255.255.255.0
                My IP Address    : 10.0.0.2
                Other IP Address : 10.0.0.1

Weergave van bewaakte interfaces

Zo geeft u de status van de bewaakte interfaces weer: Op enige contextwijze, ga het show monitor-interface bevel in globale configuratiewijze in. In de modus met meerdere contexten voert u de monitor-interface van de show binnen een context in.

Opmerking: Om de bewaking van de gezondheid op een specifieke interface mogelijk te maken, gebruikt u het commando monitor-interface in de globale configuratiemodus: 

monitor-interface <if_name>

Primaire PIX 

PIX1/context1(config)#show monitor-interface
        This host: Secondary - Active
                Interface inside (192.168.1.1): Normal
                Interface outside (172.16.1.1): Normal
        Other host: Secondary - Standby Ready
                Interface inside (192.168.1.2): Normal
                Interface outside (172.16.1.2): Normal

Secundaire PIX 

PIX1/context1(config)#show monitor-interface
        This host: Secondary - Standby Ready
                Interface inside (192.168.1.2): Normal
                Interface outside (172.16.1.2): Normal
        Other host: Secondary - Active
                Interface inside (192.168.1.1): Normal
                Interface outside (172.16.1.1): Normal

Opmerking: als u geen failover IP-adres invoert, geeft de opdracht show failover 0.0.0.0 weer voor het IP-adres en blijft de bewaking van de interfaces in een "wachtstaat". U moet een failover IP-adres instellen om failover te kunnen uitvoeren. Raadpleeg failover tonen voor meer informatie over verschillende statussen voor failover.

Door gebrek, wordt de controle van fysieke interfaces toegelaten, en de controle van subinterfaces is gehandicapt.

Weergave van de failover-opdrachten in de actieve configuratie

Om de failover-opdrachten in de actieve configuratie te bekijken, voert u deze opdracht in: 

hostname(config)#show running-config failover

Alle failover opdrachten worden weergegeven. Op eenheden die in veelvoudige contextwijze lopen, ga het bevel van de show in werking stelt -in werking stellen-config failover in de ruimte van de systeemuitvoering in. Voer de opdracht show running-config all failover in om de failover-opdrachten in de actieve configuratie weer te geven en opdrachten op te nemen waarvoor u de standaardwaarde niet hebt gewijzigd.

Tests van failover-functies

Voer de volgende stappen uit om de failover-functionaliteit te testen:

  1. Test dat uw actieve eenheid of failover groep verkeer doorgeeft zoals verwacht met FTP (bijvoorbeeld) om een bestand tussen hosts op verschillende interfaces te verzenden.

  2. Dwing een failover aan de standby unit met deze opdracht:

    • Voer voor Active/Active failover de volgende opdracht in op de eenheid waar de failovergroep met de interface voor de aansluiting van uw hosts actief is: 

      hostname(config)#no failover active group group_id

  3. Gebruik FTP om een ander bestand tussen dezelfde twee hosts te verzenden.

  4. Als de test niet succesvol was, voer dan de show failover commando in om de failover status te controleren.

  5. Als u klaar bent, kunt u de eenheid of de failover-groep met deze opdracht terugbrengen naar de actieve status:

    • Voer voor Active/Active failover de volgende opdracht in op de eenheid waar de failovergroep met de interface voor de aansluiting van uw hosts actief is:

      hostname(config)#failover active group group_id

Gedwongen failover

Typ een van de volgende opdrachten om de standby-eenheid actief te laten worden:

Voer deze opdracht in in de ruimte voor systeemuitvoering van de eenheid waar de failover-groep zich in de stand-by-stand bevindt: 

hostname#failover active group group_id

Of voer deze opdracht in in de systeemuitvoeringsruimte van de eenheid waar de failover-groep zich in de actieve toestand bevindt:

hostname#no failover active group group_id

Door deze opdracht in te voeren in de ruimte voor systeemuitvoering worden alle failover-groepen actief: 

hostname#failover active

Uitgeschakeld failover

Typ deze opdracht om failover uit te schakelen:

hostname(config)#no failover

Als u failover op een Active/Standby-paar uitschakelt, zorgt het ervoor dat de actieve en stand-by status van elke eenheid behouden blijft totdat u opnieuw begint. De stand-by-eenheid blijft bijvoorbeeld in de stand-by modus staan, zodat beide eenheden geen verkeer doorgeven. Raadpleeg het gedeelte Geforceerde failover om de standby-eenheid actief te maken (zelfs als failover is uitgeschakeld).

Als u failover op een actief/actief paar uitschakelt, zorgt het ervoor dat de failover-groepen in de actieve status blijven, op welke eenheid ze momenteel actief zijn, ongeacht welke eenheid ze zijn geconfigureerd om te verkiezen. De opdracht geen failover kan worden ingevoerd in de ruimte voor systeemuitvoering.

Herstel van een mislukte eenheid

Typ deze opdracht om een mislukte Active/Active failover-groep naar een niet-mislukte status te herstellen: 

hostname(config)#failover reset group group_id

Als u een mislukte eenheid terugzet naar een status die niet is mislukt, wordt de eenheid niet automatisch actief. gerestaureerde eenheden of groepen blijven in de stand-by staat totdat ze door failover actief worden gemaakt (gedwongen of natuurlijk). Een uitzondering is een failovergroep die met het pre-commando is geconfigureerd. Indien eerder actief, wordt een failover groep actief als deze is geconfigureerd met de pre-empt opdracht en als de eenheid waarop deze is mislukt de voorkeurseenheid is.

Vervang de mislukte eenheid door een nieuwe eenheid

Voltooi de volgende stappen om een defecte eenheid te vervangen door een nieuwe eenheid:

  1. Voer de opdracht geen failover uit op de primaire eenheid.

    In de status van de secundaire eenheid is aangegeven dat de stand-by-eenheid niet is gedetecteerd.

  2. Koppel de primaire eenheid los en sluit de vervangende primaire eenheid aan.

  3. Controleer of de vervangende eenheid dezelfde software en ASDM-versie gebruikt als de secundaire eenheid.

  4. Voer deze opdrachten uit op de vervangende eenheid:

    ASA(config)#failover lan unit primary 
ASA(config)#failover lan interface failover Ethernet3
ASA(config)#failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
ASA(config)#interface Ethernet3
ASA(config-if)#no shut 
ASA(config-if)#exit

  5. Sluit de vervangende primaire eenheid aan op het netwerk en voer deze opdracht uit:

    ASA(config)#failover

Problemen oplossen

Wanneer een failover optreedt, sturen beide beveiligingstoestellen systeemberichten uit. Deze sectie omvat deze onderwerpen:

  1. failover-systeemmeldingen

  2. Debugberichten

  3. SNMP

failover-systeemmeldingen

Het beveiligingstoestel geeft een aantal systeemmeldingen uit met betrekking tot failover op prioriteitsniveau 2, wat duidt op een kritieke toestand. Raadpleeg om deze berichten te bekijken de Configuratie- en systeemlogberichten van Cisco Security Appliance om de vastlegging in te schakelen en beschrijvingen van de systeemberichten te zien.

Opmerking: binnen switchover sluit failover logischerwijs en brengt interfaces omhoog, die syslog 411001 en 411002 berichten genereren. Dit is een normale activiteit.

Primair verloren failover communicatie met partner op interface_name

Dit failover-bericht wordt weergegeven als één eenheid van het failover-paar niet langer kan communiceren met de andere eenheid van het paar. Primair kan ook worden vermeld als secundair voor de secundaire eenheid.

(Primair) Verloren failover communicatie met partner op interface interface_name

Controleer of het netwerk dat is verbonden met de opgegeven interface goed werkt.

Debugberichten

Om te zien debug berichten, ga debug fover bevel in. Raadpleeg het Overzicht van opdrachten voor Cisco security applicaties, versie 7.2 voor meer informatie.

Opmerking: omdat debugging-uitvoer een hoge prioriteit krijgt in het CPU-proces, kan dit de systeemprestaties drastisch beïnvloeden. Om deze reden kunt u de debug over-opdrachten alleen gebruiken om specifieke problemen op te lossen of binnen probleemoplossingssessies met het technische ondersteuningspersoneel van Cisco.

SNMP

Om SNMP-syslog traps voor failover te ontvangen, dient u de SNMP-agent te configureren om SNMP-traps naar SNMP-beheerstations te verzenden, een syslog-host te definiëren en de Cisco syslog MIB te compileren naar uw SNMP-beheerstation. Raadpleeg de opdrachten SNMP-server en vastlegging in de Opdrachtreferentie voor Cisco security applicatie, versie 7.2 voor meer informatie.

failover-polltime

Om de poll- en wachttijden van de failover-eenheid te specificeren, geeft u de opdracht failover polltime uit in de globale configuratiemodus.

De failover polltime unit msec [time] vertegenwoordigt het tijdsinterval om het bestaan van de standby-unit te controleren door de berichten van het type failover polltime te peilen.

Op dezelfde manier vertegenwoordigt de failover holdtime unit msec [tijd] de tijdsperiode gedurende welke een unit een hello-bericht moet ontvangen op de failover-link, waarna wordt verklaard dat de peer-unit heeft gefaald.

Raadpleeg failover polltime voor meer informatie.

WAARSCHUWING: Fout bij failover-berichtdecryptie.

Fout:

Failover message decryption failure. Please make sure both units have the 
same failover shared key and crypto license or system is not out of memory

Dit probleem treedt op door de configuratie van de failover-toets. Om deze kwestie op te lossen, verwijder de failover sleutel, en vorm de nieuwe gedeelde sleutel.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
09-Apr-2007
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten