De failover configuratie vereist twee identieke security applicaties die met elkaar verbonden zijn via een speciale failover link en, optioneel, een stateful failover link. De gezondheid van de actieve interfaces en eenheden wordt gecontroleerd om te bepalen of aan specifieke failover-voorwaarden wordt voldaan. Als aan deze voorwaarden wordt voldaan, vindt failover plaats.
Het security applicatie ondersteunt twee failover configuraties, Active/Active failover en Active/Standby failover. Elke failover-configuratie heeft zijn eigen methode om failover te bepalen en uit te voeren. Met Active/Active failover kunnen beide eenheden netwerkverkeer doorgeven. Hiermee kunt u taakverdeling op uw netwerk configureren. Active/Active failover is alleen beschikbaar op eenheden die in meerdere contextmodus werken. Met Active/Standby failover passeert slechts één unit verkeer terwijl de andere unit in een stand-by status wacht. Active/stand-by failover is beschikbaar op eenheden die in één of meerdere contextmodus werken. Beide failover-configuraties ondersteunen stateful of stateless (reguliere) failover.
Dit document concentreert zich op de manier waarop u een actieve/actieve failover kunt configureren in Cisco PIX/ASA security applicatie.
Raadpleeg het configuratievoorbeeld van PIX/ASA 7.x Active/Standby failover om meer informatie te krijgen over de Active/Standby failover-configuraties.
Opmerking: VPN-failover wordt niet ondersteund op eenheden die in meerdere contextmodus werken omdat VPN niet in meerdere contexten wordt ondersteund. VPN-failover is alleen beschikbaar voor Active/Standby failover-configuraties in enkelvoudige contextconfiguraties.
Deze configuratiegids biedt een voorbeeldconfiguratie met een korte inleiding tot de PIX/ASA 7.x Active/Active-technologie. Raadpleeg de opdrachtreferentie voor Cisco security applicatie, versie 7.2 voor een diepgaander begrip van de theorie die achter deze technologie is gebaseerd.
Hardware-eis
De twee eenheden in een failoverconfiguratie moeten dezelfde hardwareconfiguratie hebben. Ze moeten van hetzelfde model zijn, hetzelfde aantal en dezelfde soort interfaces hebben en dezelfde hoeveelheid RAM hebben.
Opmerking: de twee eenheden hoeven niet dezelfde grootte Flash geheugen te hebben. Als u eenheden met verschillende Flash-geheugenformaten in uw failover-configuratie gebruikt, zorg er dan voor dat de eenheid met het kleinere Flash-geheugen voldoende ruimte heeft om de software-beeldbestanden en de configuratiebestanden aan te passen. Als dit niet het geval is, zal de synchronisatie van de configuratie van de eenheid met het grotere Flash-geheugen naar de eenheid met het kleinere Flash-geheugen mislukken.
Softwarevereiste
De twee eenheden in een failoverconfiguratie moeten in de operationele modi zijn (routed of transparant, single of multiple context). Ze moeten dezelfde grote (eerste nummer) en kleine (tweede nummer) softwareversie hebben, maar u kunt verschillende versies van de software gebruiken binnen een upgradeproces; U kunt bijvoorbeeld één eenheid upgraden van Versie 7.0(1) naar Versie 7.0(2) en failover actief laten blijven. Cisco raadt u aan beide eenheden te upgraden naar dezelfde versie om de compatibiliteit op lange termijn te garanderen.
Raadpleeg Performing Zero Downtime Upgrades voor failover-paren voor meer informatie over het upgraden van de software op een failover-paar.
Licentievereisten
Op het platform van PIX/ASA security applicaties moet ten minste één van de eenheden een onbeperkte (UR) licentie hebben. De andere eenheid kan een failover Only Active-Active (FO_AA) licentie of een andere UR licentie hebben. Eenheden met een beperkte licentie kunnen niet worden gebruikt voor failover, en twee eenheden met FO_AA-licenties kunnen niet samen worden gebruikt als failover-paar.
Opmerking: mogelijk moet u de licenties op een failover-paar upgraden om extra functies en voordelen te verkrijgen. Raadpleeg voor meer informatie over upgrades de Licentiesleutel voor upgrade op een failover-paar
Opmerking: de gelicentieerde functies, zoals SSL VPN-peers of beveiligingscontexten, op beide beveiligingstoestellen die deelnemen aan failover, moeten identiek zijn.
Opmerking: de FO-licentie ondersteunt Active/Active failover niet.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
PIX security applicatie met 7.x versie en hoger
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Deze configuratie kan ook worden gebruikt in combinatie met deze hardware- en softwareversies:
ASA met 7.x versie en hoger
Opmerking: actieve/actieve failover is niet beschikbaar voor de ASA 5505 Series adaptieve security applicatie.
Raadpleeg de Cisco Technical Tips Conventions voor meer informatie over documentconventies.
In deze sectie wordt Active/Standby failover beschreven en worden de volgende onderwerpen besproken:
Active/Active failover is alleen beschikbaar voor security applicaties in meerdere contextmodus. In een Active/Active failover-configuratie kunnen beide security applicaties netwerkverkeer doorgeven.
In Active/Active failover verdeelt u de beveiligingscontexten op het security apparaat in failovergroepen. Een failovergroep is gewoon een logische groep van een of meer beveiligingscontexten. U kunt maximaal twee failovergroepen maken op het security apparaat. De beheerderscontext is altijd lid van failover groep 1. Alle niet-toegewezen beveiligingscontexten zijn standaard ook lid van failover groep 1.
De failovergroep vormt de basiseenheid voor failover in Active/Active failover. Bewaking van interfacestoornissen, failover en active/stand-by-status zijn allemaal kenmerken van een failovergroep in plaats van de unit. Wanneer een actieve failover groep faalt, verandert het in de standby status terwijl de standby failover groep actief wordt. De interfaces in de failover groep die actief wordt veronderstellen de MAC- en IP-adressen van de interfaces in de failover groep die faalden. De interfaces in de failover groep die nu in de standby staat is nemen de standby MAC en IP adressen over.
Opmerking: een failovergroep die op een unit faalt, betekent niet dat de unit heeft gefaald. Het is mogelijk dat de unit nog een andere failover-groep heeft die verkeer doorgeeft.
Zoals bij Active/Standby failover, wordt één eenheid in een Active/Active failover-paar aangewezen als de primaire eenheid, en de andere eenheid als de secundaire eenheid. In tegenstelling tot Active/Standby failover geeft deze aanduiding niet aan welke unit actief wordt wanneer beide eenheden tegelijkertijd starten. In plaats daarvan doet de primaire/secundaire aanduiding twee dingen:
Bepaalt welke eenheid de lopende configuratie aan het paar verstrekt wanneer zij gelijktijdig initialiseren.
Bepaalt op welke eenheid elke failover groep in de actieve staat verschijnt wanneer de eenheden gelijktijdig beginnen. Elke failover groep in de configuratie is geconfigureerd met een primaire of secundaire eenheidsvoorkeur. U kunt beide failovergroepen configureren in de actieve staat op één eenheid in het paar, waarbij de andere eenheid de failovergroepen in de stand-by staat bevat. Een meer typische configuratie is echter om elke failover groep een andere rolvoorkeur toe te wijzen om elke persoon actief te maken op een andere eenheid, waarbij het verkeer over de apparaten wordt verdeeld.
Opmerking: het security apparaat biedt geen taakverdeling. Taakverdeling moet worden uitgevoerd door een router die verkeer naar het security apparaat doorgeeft.
Welke eenheid elke failovergroep actief wordt op wordt bepaald zoals getoond
Wanneer een eenheid opstart terwijl de peer-unit niet beschikbaar is, worden beide failover-groepen actief op de eenheid.
Wanneer een eenheid opstart terwijl de peer-eenheid actief is (met beide failover-groepen in de actieve toestand), blijven de failover-groepen in de actieve toestand op de actieve eenheid, ongeacht de primaire of secundaire voorkeur van de failover-groep, tot een van de volgende:
Er treedt een failover op.
U dwingt de failovergroep handmatig naar de andere unit met de opdracht geen failover actief
U hebt de failover-groep geconfigureerd met de pre-empt-opdracht, waardoor de failover-groep automatisch actief wordt op de voorkeurseenheid wanneer de eenheid beschikbaar wordt.
Wanneer beide eenheden tegelijkertijd opstarten, wordt elke failover groep actief op de voorkeurseenheid nadat de configuraties zijn gesynchroniseerd.
De synchronisatie van de configuratie gebeurt wanneer één of beide eenheden in een laars van het failoverpaar. De configuraties zijn gesynchroniseerd zoals aangegeven:
Wanneer een eenheid opstart terwijl de peer-eenheid actief is (met beide failover-groepen actief), neemt de opstarteenheid contact op met de actieve eenheid om de actieve configuratie te verkrijgen, ongeacht de primaire of secundaire aanduiding van de opstarteenheid.
Wanneer beide eenheden tegelijkertijd opstarten, verkrijgt de secundaire eenheid de lopende configuratie van de primaire eenheid.
Wanneer de replicatie wordt gestart, wordt op de console van het security apparaat op de eenheid die de configuratie verzendt, het bericht "Beginnende configuratie replicatie weergegeven: Verzenden naar partner" en als dit is voltooid, wordt op het security apparaat het bericht "End Configuration replication to mate" weergegeven. Tijdens replicatie is het mogelijk dat opdrachten die zijn ingevoerd op de eenheid die de configuratie verzendt, niet goed worden gerepliceerd naar de peer-eenheid, en opdrachten die zijn ingevoerd op de eenheid die de configuratie ontvangt, kunnen worden overschreven door de configuratie die wordt ontvangen. Vermijd het invoeren van opdrachten op een van beide eenheden in het failover-paar tijdens het configuratie-replicatieproces. Afhankelijk van de grootte van de configuratie, kan de replicatie van een paar seconden aan verscheidene minuten nemen.
Op de eenheid die de configuratie ontvangt, bestaat de configuratie alleen in actief geheugen. Om de configuratie op te slaan in het Flash-geheugen na synchronisatie, voert u de opdracht schrijfgeheugen in alle opdracht in de ruimte voor systeemuitvoering op de eenheid met failover-groep 1 in de actieve toestand. Het commando wordt gerepliceerd naar de peer unit, die vervolgens de configuratie naar Flash geheugen schrijft. Het gebruiken van het alle sleutelwoord met dit bevel veroorzaakt dat het systeem en alle contextconfiguraties worden opgeslagen.
Opmerking: opstartconfiguraties die op externe servers zijn opgeslagen, zijn toegankelijk vanaf elke eenheid via het netwerk en hoeven niet voor elke eenheid afzonderlijk te worden opgeslagen. U kunt ook de contextconfiguratiebestanden van de schijf op de primaire eenheid kopiëren naar een externe server en deze vervolgens naar de schijf op de secundaire eenheid kopiëren, waar ze beschikbaar komen wanneer de eenheid opnieuw wordt geladen.
Nadat beide eenheden actief zijn, worden opdrachten van de ene eenheid naar de andere gerepliceerd zoals aangegeven in de afbeelding:
Opdrachten die in een beveiligingscontext zijn ingevoerd, worden gerepliceerd van de eenheid waarop de beveiligingscontext in de actieve staat verschijnt, naar de peer-eenheid.
Opmerking: context wordt in de actieve toestand op een eenheid beschouwd als de failover-groep waartoe zij behoort zich in de actieve toestand op die eenheid bevindt.
Opdrachten die in de uitvoerruimte van het systeem zijn ingevoerd, worden gerepliceerd van de eenheid waarop failover-groep 1 zich in de actieve toestand bevindt, naar de eenheid waarop failover-groep 1 zich in de stand-by-stand bevindt.
Opdrachten die in de beheerderscontext zijn ingevoerd, worden gerepliceerd van de eenheid waarop failovergroep 1 zich in de actieve toestand bevindt, naar de eenheid waarop failovergroep 1 zich in de stand-by-stand bevindt.
Alle configuratie- en bestandsopdrachten (kopiëren, hernoemen, verwijderen, mkdir, rmdir enzovoort) worden gerepliceerd, met de volgende uitzonderingen. De opdrachten voor show, debug, mode, firewall en failover-LAN worden niet gerepliceerd.
Het nalaten om de bevelen op de aangewezen eenheid voor bevelreplicatie om in te gaan voor te komen veroorzaakt de configuraties om uit synchronisatie te zijn. Deze wijzigingen kunnen verloren gaan wanneer de configuratie opnieuw wordt gesynchroniseerd.
U kunt de opdracht schrijfstand-by gebruiken om configuraties die niet meer synchroon lopen, opnieuw te synchroniseren. Voor Active/Active failover gedraagt de schrijfstand-by opdracht zich zoals aangegeven:
Als u de opdracht schrijfstand-by invoert in de ruimte voor systeemuitvoering, worden de systeemconfiguratie en de configuraties voor alle beveiligingscontexten op het security apparaat naar de peer-eenheid geschreven. Dit omvat configuratie-informatie voor beveiligingscontexten die zich in de stand-by modus bevinden. U moet de opdracht invoeren in de ruimte voor systeemuitvoering op de eenheid met failover-groep 1 in de actieve staat.
Opmerking: als er beveiligingscontexten zijn in de actieve status van de peer-unit, worden de actieve verbindingen via de schrijfstand-by opdracht beëindigd. Gebruik de opdracht failover active op de eenheid die de configuratie levert om ervoor te zorgen dat alle contexten op die eenheid actief zijn voordat u de opdracht schrijfstand invoert.
Als u de schrijfstandby-opdracht invoert in een beveiligingscontext, wordt alleen de configuratie voor de beveiligingscontext naar de peer-unit geschreven. U moet de opdracht invoeren in de veiligheidscontext op de eenheid waar de veiligheidscontext in de actieve staat wordt weergegeven.
Herhaalde opdrachten worden niet opgeslagen in het Flash-geheugen wanneer ze worden gerepliceerd naar de peer-unit. Zij worden toegevoegd aan de lopende configuratie. Om herhaald commando's op te slaan naar Flash geheugen op beide eenheden, gebruik het schrijfgeheugen of kopieer het opstart-configuratie opstartconfiguratie commando op de eenheid waarop u de wijzigingen hebt aangebracht. De opdracht wordt gerepliceerd naar de peer-unit en zorgt ervoor dat de configuratie wordt opgeslagen in Flash-geheugen op de peer-unit.
Bij Active/Active failover kan failover op eenheidsniveau worden geactiveerd als een van de volgende gebeurtenissen zich voordoet:
De unit heeft een hardwarestoring.
Het apparaat heeft een stroomuitval.
De eenheid heeft een softwarefout.
De opdracht geen failover actief of failover actief wordt ingevoerd in de ruimte voor systeemuitvoering.
Failover wordt op het niveau van de failover-groep geactiveerd wanneer een van deze gebeurtenissen zich voordoet:
Teveel gecontroleerde interfaces in de groep mislukken.
De opdracht no failover active group_id of failover active group_id wordt ingevoerd.
In een Active/Active failover-configuratie vindt failover plaats op basis van een failover-groep, niet op systeembasis. Als u bijvoorbeeld beide failovergroepen aanwijst als actief op de primaire eenheid, en failovergroep 1 mislukt, blijft failovergroep 2 actief op de primaire eenheid terwijl failovergroep 1 actief wordt op de secundaire eenheid.
N.B.: Zorg er bij het configureren van Active/Active failover voor dat het gecombineerde verkeer voor beide eenheden binnen de capaciteit van elke eenheid valt.
Deze tabel toont de failover-actie voor elke storingsgebeurtenis. Voor elke storingsgebeurtenis, worden het beleid (al dan niet failover), acties voor de actieve failovergroep, en acties voor de standby failover groep gegeven.
Falen | Beleid | Actieve groepsactie | Handeling in de standby-groep | Opmerkingen |
---|---|---|---|---|
Een eenheid ervaart een stroom- of softwarestoring | failover | Stand-by markering worden als mislukt | Word stand-by. Markeren als actief mislukt | Wanneer een eenheid in een failover-paar uitvalt, worden alle actieve failover-groepen op die eenheid gemarkeerd als mislukt en worden ze actief op de peer-eenheid. |
Interfacefout bij actieve failover-groep boven drempelwaarde | failover | Een actieve groep als mislukt markeren | Actief worden | None |
Interfacestoring op standby failover-groep boven drempelwaarde | Geen failover | Geen actie | Stand-by groep markeren als mislukt | Wanneer de standby failover groep is gemarkeerd als mislukt, probeert de actieve failover groep niet om over te vallen, zelfs als de drempel van de interfacestoring is overschreden. |
Vroeger actieve failover-groep herstelt | Geen failover | Geen actie | Geen actie | Tenzij geconfigureerd met de pre-commando blijven de failovergroepen actief op hun huidige unit. |
failover-link is mislukt bij opstarten | Geen failover | Actief worden | Actief worden | Als de failover link bij opstarten is uitgeschakeld, worden beide failover groepen op beide eenheden actief. |
Stateful failover-link is mislukt | Geen failover | Geen actie | Geen actie | Statusinformatie wordt verouderd en sessies worden beëindigd als er een failover optreedt. |
failover-link is mislukt tijdens gebruik | Geen failover | N.v.t. | N.v.t. | Elke eenheid geeft aan dat de failover-interface is mislukt. U dient de failover link zo snel mogelijk te herstellen, omdat de unit niet kan overschakelen naar de stand-by unit terwijl de failover link is uitgeschakeld. |
Het security apparaat ondersteunt twee typen failover, regelmatig en stateful. Deze sectie omvat deze onderwerpen:
Wanneer een failover optreedt, worden alle actieve verbindingen verbroken. Clients moeten de verbindingen opnieuw tot stand brengen wanneer de nieuwe actieve eenheid overneemt.
Als stateful failover is ingeschakeld, geeft de actieve unit voortdurend informatie over de status per verbinding door aan de standby-unit. Nadat een failover is opgetreden, is dezelfde verbindingsinformatie beschikbaar op de nieuwe actieve unit. Ondersteunde eindgebruikerstoepassingen hoeven niet opnieuw verbinding te maken om dezelfde communicatiesessie te houden.
De aan de standby-unit doorgegeven statusinformatie omvat de volgende elementen:
De NAT-vertaaltabel
De TCP-verbindingsstatus
De UDP-verbindingsstaten
De ARP-tabel
Layer 2-overbruggingstabel (wanneer deze in de transparante firewallmodus wordt uitgevoerd)
De HTTP-verbindingsstaten (als HTTP-replicatie is ingeschakeld)
De ISAKMP- en IPSec SA-tabel
De GTP PDP-verbindingsdatabase
De informatie die niet wordt doorgegeven aan de stand-by unit wanneer stateful failover is ingeschakeld, bevat de volgende informatie:
De HTTP-verbindingstabel (tenzij HTTP-replicatie is ingeschakeld)
De tabel met gebruikersverificatie (wachtrij)
De routingtabellen
Overheidsinformatie voor veiligheidsdienstmodules
Opmerking: Als failover optreedt binnen een actieve Cisco IP SoftPhone-sessie, blijft de oproep actief omdat de statusinformatie van de gesprekssessie wordt gerepliceerd naar de stand-by-eenheid. Wanneer de oproep wordt beëindigd, verliest de IP SoftPhone-client de verbinding met Call Manager. Dit gebeurt omdat er geen sessieinformatie is voor het CTIQBE hang-upbericht op de standby-unit. Wanneer de IP SoftPhone-client geen reactie van de Call Manager binnen een bepaalde tijdsperiode ontvangt, beschouwt hij de Call Manager als onbereikbaar en maakt hij zich niet geregistreerd.
U kunt failover niet configureren met deze typen IP-adressen:
IP-adressen verkregen via DHCP
IP-adressen verkregen via PPPoE
IPv6-adressen
Bovendien zijn deze beperkingen van toepassing:
Stateful failover wordt niet ondersteund op het ASA 5505 adaptieve security applicatie.
Active/Active-failover wordt niet ondersteund op het ASA 5505 adaptieve security applicatie.
U kunt failover niet configureren wanneer Easy VPN Remote is ingeschakeld op het ASA 5505 adaptieve security applicatie.
VPN-failover wordt niet ondersteund in meervoudige contextmodus.
De meervoudige contextmodus ondersteunt deze functies niet:
Dynamische routeringsprotocollen
Beveiligingscontexten ondersteunen alleen statische routes. U kunt OSPF of RIP niet in meervoudige contextmodus inschakelen.
VPN
Multicast
Voordat u begint, moet u het volgende controleren:
Beide eenheden hebben dezelfde hardware, dezelfde softwareconfiguratie en dezelfde licentie.
Beide eenheden bevinden zich in dezelfde modus (enkelvoudig of meervoudig, transparant of gerouteerd).
Het netwerk in dit document is als volgt opgebouwd:
Volg deze stappen om Active/Active failover te configureren met behulp van een seriële kabel als failover link. De opdrachten in deze taak worden ingevoerd op de primaire eenheid in het failover-paar. De primaire eenheid is de eenheid waarvan het uiteinde van de kabel is voorzien van het label "Primary" (Primair). Voor apparaten in een meervoudige contextmodus, worden de opdrachten ingevoerd in de ruimte voor systeemuitvoering, tenzij anders wordt aangegeven.
U hoeft de secundaire eenheid in het failover-paar niet te bootstrap wanneer u op kabel gebaseerde failover gebruikt. Laat de secundaire eenheid uitzetten totdat u wordt geïnstrueerd deze in te schakelen.
Opmerking: kabelgebaseerde failover is alleen beschikbaar op het security apparaat van de PIX 500 Series.
Voltooi deze stappen om op kabel gebaseerde, actieve/actieve failover te configureren:
Sluit de failover-kabel aan op de beveiligingsapparaten uit de PIX 500-serie. Zorg ervoor dat u het uiteinde van de kabel met de markering "Primair" aansluit op het apparaat dat u als primaire eenheid gebruikt en dat u het uiteinde van de kabel met de markering "Secundair" aansluit op het apparaat dat u als secundaire eenheid gebruikt.
Schakel de primaire eenheid in.
Als u dit nog niet hebt gedaan, configureer dan de actieve en stand-by IP-adressen voor elke data-interface (routed mode), voor het IP-adres voor beheer (transparante modus) of voor de interface die alleen beheer mogelijk maakt. Het standby IP-adres wordt gebruikt op het security apparaat dat op dit moment de standby-eenheid is. Het moet zich in hetzelfde subnetje bevinden als het actieve IP-adres.
U moet de interfaceadressen van binnen elke context vormen. Gebruik de opdracht Context wijzigen in switch tussen contexten. De opdrachtprompt verandert in hostname/context (config-if)#, waar context de naam is van de huidige context. U moet een IP-adres voor beheer invoeren voor elke context in een transparante firewall met meerdere contextmodi.
Opmerking: configureer geen IP-adres voor de Stateful failover-link als u een speciale Stateful failover-interface gaat gebruiken. U gebruikt de ip-opdracht van de failover-interface om in een latere stap een speciale Stateful failover-interface te configureren.
hostname/context(config-if)#ip address active_addr netmask standby standby_addr
In het voorbeeld wordt de buiteninterface voor context1 van de primaire PIX op deze manier geconfigureerd:
PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
Voor Context2:
PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
In de Routed Firewall-modus en voor de interface met alleen beheer wordt deze opdracht ingevoerd in de interfaceconfiguratiemodus voor elke interface. In de modus Transparant firewall wordt de opdracht in de globale configuratiemodus ingevoerd.
Om Stateful failover in te schakelen, dient u de Stateful failover-link te configureren.
Specificeer de interface die moet worden gebruikt als stateful failover-link:
hostname(config)#failover link if_name phy_if
In dit voorbeeld wordt de Ethernet2-interface gebruikt om de stateful failover link state-informatie uit te wisselen.
failover link stateful Ethernet2
Het if_name argument wijst een logische naam toe aan de interface die gespecificeerd wordt door het phy_if argument. Het phy_if argument kan de fysieke poortnaam zijn, zoals Ethernet1, of een eerder gemaakte subinterface, zoals Ethernet0/2.3. Deze interface moet niet voor een ander doel worden gebruikt (behalve, optioneel, de failover link).
Wijs een actief en standby IP-adres toe aan de Stateful failover-link:
hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
In dit voorbeeld, wordt 10.0.0.1 gebruikt als actief, en 10.0.0.2 wordt gebruikt als standby IP adres voor de stateful failover link.
PIX1(config)#failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2
Het IP-adres voor stand-by moet in hetzelfde substraat staan als het actieve IP-adres. U hoeft het standby IP-adressubnetmasker niet te identificeren.
Het Stateful failover link IP-adres en het MAC-adres veranderen niet bij failover, behalve wanneer Stateful failover een reguliere gegevensinterface gebruikt. Het actieve IP-adres blijft altijd bij de primaire eenheid, terwijl het standby IP-adres bij de secundaire eenheid blijft.
Schakel de interface in:
hostname(config)#interface phy_if
hostname(config-if)#no shutdown
Configureer de failovergroepen. Je kan maximaal twee failover groepen hebben. Het bevel van de failovergroep leidt tot de gespecificeerde failovergroep als het niet bestaat en gaat de failover groepsconfiguratiewijze in.
Voor elke failover groep, moet u specificeren of de failover groep primaire of secundaire voorkeur heeft die de primaire of secundaire opdracht gebruikt. U kunt dezelfde voorkeur toewijzen aan beide failover-groepen. Voor configuraties voor taakverdeling moet u aan elke failover-groep een andere eenheidsvoorkeur toewijzen.
In het volgende voorbeeld wordt aan failovergroep 1 een primaire voorkeur en aan failovergroep 2 een secundaire voorkeur toegekend:
hostname(config)#failover group 1 hostname(config-fover-group)#primary hostname(config-fover-group)#exit hostname(config)#failover group 2 hostname(config-fover-group)#secondary hostname(config-fover-group)#exit
Wijs elke gebruikerscontext toe aan een failover groep met de opdracht joint-failover-group in de contextconfiguratiemodus.
Alle niet-toegewezen contexten worden automatisch toegewezen aan failover groep 1. De beheerderscontext is altijd een lid van failover groep 1.
Voer deze opdrachten in om elke context aan een failover-groep toe te wijzen:
hostname(config)#context context_name
hostname(config-context)#join-failover-group {1 | 2}
hostname(config-context)#exit
failover inschakelen:
hostname(config)#failover
Schakel de secundaire eenheid in en schakel de failover op de eenheid in als deze nog niet is ingeschakeld:
hostname(config)#failover
De actieve eenheid verzendt de configuratie in actief geheugen naar de standby-eenheid. Aangezien de configuratie synchroniseert, de berichten "Beginnende configuratie replicatie: Op de primaire console verschijnen "Sending to mate" en "End Configuration Replication to mate".
Opmerking: geef eerst de failover-opdracht op het primaire apparaat uit en geef deze vervolgens op het secundaire apparaat uit. Nadat u de failover-opdracht op het secundaire apparaat hebt gegeven, haalt het secundaire apparaat onmiddellijk de configuratie uit het primaire apparaat en zet het zichzelf in de stand-by modus. De primaire ASA blijft omhoog en passeert normaal verkeer en markeert zichzelf als het actieve apparaat. Vanaf dat punt, wanneer een mislukking op het actieve apparaat voorkomt, komt het standby apparaat omhoog als actief.
Sla de configuratie op in Flash-geheugen op de primaire eenheid. Omdat de opdrachten die op de primaire eenheid zijn ingevoerd, worden gerepliceerd naar de secundaire eenheid, slaat de secundaire eenheid ook de configuratie op in Flash-geheugen.
hostname(config)#copy running-config startup-config
Forceer indien nodig een failover groep die actief is op de primaire naar de actieve toestand op de secundaire. Om een failovergroep te dwingen actief te worden op de secundaire eenheid, geef deze opdracht in de systeemuitvoeringsruimte op de primaire eenheid uit:
hostname#no failover active group group_id
Het group_id argument geeft de groep aan die je actief wilt worden op de secondaire unit.
Dit document gebruikt de volgende configuraties:
PIX1 - Systeemconfiguratie |
---|
PIX1#show running-config : Saved PIX Version 7.2(2) |
PIX1 - Configuratie context1 |
---|
PIX1/context1(config)#show running-config : Saved : PIX Version 7.2(2) |
Configuratie PIX1 - Context2 |
---|
PIX1/context2(config)#show running-config : Saved : PIX Version 7.2(2) |
Het netwerk in dit document is als volgt opgebouwd:
In deze sectie wordt beschreven hoe u Active/Active failover kunt configureren met behulp van een Ethernet-failover-link. Bij het configureren van LAN-gebaseerde failover, moet u het secundaire apparaat opstarten om de failover link te herkennen voordat het secundaire apparaat de actieve configuratie kan verkrijgen van het primaire apparaat.
N.B.: In plaats van een cross-over Ethernet-kabel te gebruiken om de eenheden rechtstreeks te koppelen, raadt Cisco u aan een speciale switch tussen de primaire en de secundaire eenheden te gebruiken.
Deze sectie omvat de onderwerpen zoals getoond:
Voltooi deze stappen om de primaire eenheid in een Active/Active failover-configuratie te configureren:
Als u dit nog niet hebt gedaan, configureer dan de actieve en stand-by IP-adressen voor elke data-interface (routed mode), voor het IP-adres voor beheer (transparante modus) of voor de interface die alleen beheer mogelijk maakt. Het standby IP-adres wordt gebruikt op het security apparaat dat op dit moment de standby-eenheid is. Het moet zich in hetzelfde subnetje bevinden als het actieve IP-adres.
U moet de interfaceadressen van binnen elke context vormen. Gebruik de opdracht Context wijzigen in switch tussen contexten. De opdrachtprompt verandert in hostname/context (config-if)#, waar context de naam is van de huidige context. In de transparante firewallmodus moet u voor elke context een IP-adres voor beheer invoeren.
Opmerking: configureer geen IP-adres voor de Stateful failover-link als u een speciale Stateful failover-interface gaat gebruiken. U gebruikt de ip-opdracht van de failover-interface om in een latere stap een speciale Stateful failover-interface te configureren.
hostname/context(config-if)#ip address active_addr netmask standby standby_addr
In het voorbeeld wordt de buiteninterface voor context1 van de primaire PIX op deze manier geconfigureerd:
PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
Voor Context2:
PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
In de Routed Firewall-modus en voor de interface met alleen beheer wordt deze opdracht ingevoerd in de interfaceconfiguratiemodus voor elke interface. In de modus Transparant firewall wordt de opdracht in de globale configuratiemodus ingevoerd.
Configureer de fundamentele failover-parameters in de ruimte voor systeemuitvoering.
(Alleen PIX security applicatie) Schakel LAN-gebaseerde failover in:
hostname(config)#failover lan enable
Wijs de eenheid als primaire eenheid aan:
hostname(config)#failover lan unit primary
Specificeer de failover link:
hostname(config)#failover lan interface if_name phy_if
In dit voorbeeld gebruiken we de interface Ethernet 3 als LAN-gebaseerde failover-interface.
PIX1(config)#failover lan interface LANFailover ethernet3
Het if_name argument wijst een logische naam toe aan de interface die gespecificeerd wordt door het phy_if argument. Het phy_if argument kan de fysieke poortnaam zijn, zoals Ethernet1, of een eerder gemaakte subinterface, zoals Ethernet0/2.3. Op het ASA 5505 adaptieve security applicatie, specificeert phy_if een VLAN. Deze interface zou niet voor een ander doel moeten worden gebruikt (behalve, naar keuze, de Stateful failover link).
Specificeer de actieve en standby IP-adressen van de failoverlink:
hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
Bij dit voorbeeld gebruiken we 10.1.0.1 als actief en 10.1.0.2 als standby IP-adressen voor failover-interface.
PIX1(config)#failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2
Het IP-adres voor stand-by moet in hetzelfde substraat staan als het actieve IP-adres. U hoeft het standby IP-adressubnetmasker niet te identificeren. Het IP-adres van de failover-link en het MAC-adres veranderen niet bij failover. Het actieve IP-adres blijft altijd bij de primaire eenheid, terwijl het standby IP-adres bij de secundaire eenheid blijft.
Als u Stateful failover wilt inschakelen, configureert u de Stateful failover-link:
Specificeer de interface die moet worden gebruikt als stateful failover-link:
hostname(config)#failover link if_name phy_if
PIX1(config)#failover link stateful ethernet2
Het if_name argument wijst een logische naam toe aan de interface die gespecificeerd wordt door het phy_if argument. Het phy_if argument kan de fysieke poortnaam zijn, zoals Ethernet1, of een eerder gemaakte subinterface, zoals Ethernet0/2.3. Deze interface moet niet voor een ander doel worden gebruikt (behalve, optioneel, de failover link).
Opmerking: Als de Stateful failover link de failover link of een reguliere data-interface gebruikt, dan hoeft u alleen het if_name argument te leveren.
Wijs een actief en standby IP-adres toe aan de Stateful failover-link.
Opmerking: als de Stateful failover-link de failover-link of een reguliere data-interface gebruikt, sla deze stap over. U hebt de actieve en standby IP-adressen voor de interface al gedefinieerd.
hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
PIX1(config)#failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2
Het IP-adres voor stand-by moet in hetzelfde substraat staan als het actieve IP-adres. U hoeft het standby-adressubnetmasker niet te identificeren. Het IP-adres van de staatslink en het MAC-adres veranderen niet bij failover. Het actieve IP-adres blijft altijd bij de primaire eenheid, terwijl het standby IP-adres bij de secundaire eenheid blijft.
Schakel de interface in.
Opmerking: als de Stateful failover-link de failover-link of de reguliere data-interface gebruikt, sla deze stap over. U hebt de interface al ingeschakeld.
hostname(config)#interface phy_if
hostname(config-if)#no shutdown
Configureer de failovergroepen. Je kan maximaal twee failover groepen hebben. Het bevel van de failovergroep leidt tot de gespecificeerde failovergroep als het niet bestaat en gaat de failover groepsconfiguratiewijze in.
Geef voor elke failover-groep aan of de failover-groep primaire of secundaire voorkeur heeft via de primaire of secundaire opdracht. U kunt dezelfde voorkeur toewijzen aan beide failover-groepen. Voor configuraties voor taakverdeling moet u aan elke failover-groep een andere eenheidsvoorkeur toewijzen.
In het volgende voorbeeld wordt aan failovergroep 1 een primaire voorkeur en aan failovergroep 2 een secundaire voorkeur toegekend:
hostname(config)#failover group 1 hostname(config-fover-group)#primary hostname(config-fover-group)#exit hostname(config)#failover group 2 hostname(config-fover-group)#secondary hostname(config-fover-group)#exit
Wijs elke gebruikerscontext toe aan een failover groep met de opdracht joint-failover-group in de contextconfiguratiemodus.
Alle niet-toegewezen contexten worden automatisch toegewezen aan failover groep 1. De beheerderscontext is altijd een lid van failover groep 1.
Voer deze opdrachten in om elke context aan een failover-groep toe te wijzen:
hostname(config)#context context_name
hostname(config-context)#join-failover-group {1 | 2}
hostname(config-context)#exit
Schakel failover in.
hostname(config)#failover
Bij het configureren van LAN-gebaseerde Active/Active failover, moet u de secundaire unit opstarten om de failover link te herkennen. Hierdoor kan de secundaire eenheid communiceren met en de actieve configuratie ontvangen van de primaire eenheid.
Voltooi deze stappen om de secundaire eenheid in een Active/Active failover-configuratie op te starten:
(Alleen PIX security applicatie) Schakel LAN-gebaseerde failover in.
hostname(config)#failover lan enable
Definieer de failover-interface. Gebruik dezelfde instellingen als voor de primaire eenheid:
Specificeer de interface die als failoverinterface moet worden gebruikt.
hostname(config)#failover lan interface if_name phy_if
PIX1(config)#failover lan interface LANFailover ethernet3
Het if_name argument wijst een logische naam toe aan de interface die gespecificeerd wordt door het phy_if argument. Het phy_if argument kan de fysieke poortnaam zijn, zoals Ethernet1, of een eerder gemaakte subinterface, zoals Ethernet0/2.3. Op het ASA 5505 adaptieve security applicatie, specificeert phy_if een VLAN.
Wijs het actieve en standby IP-adres toe aan de failover-link:
hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
PIX1(config)#failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2
Opmerking: Voer deze opdracht precies in zoals u deze op de primaire unit hebt ingevoerd toen u de failover-interface hebt geconfigureerd.
Het IP-adres voor stand-by moet in hetzelfde substraat staan als het actieve IP-adres. U hoeft het standby-adressubnetmasker niet te identificeren.
Schakel de interface in.
hostname(config)#interface phy_if
hostname(config-if)#no shutdown
Wijs deze eenheid aan als de secundaire eenheid:
hostname(config)#failover lan unit secondary
Opmerking: deze stap is optioneel omdat standaardeenheden worden aangeduid als secundair, tenzij eerder anders ingesteld.
Schakel failover in.
hostname(config)#failover
Nadat u failover hebt ingeschakeld, verstuurt de actieve eenheid de configuratie in het actieve geheugen naar de stand-by-eenheid. Aangezien de configuratie synchroniseert, beginnen de berichten configuratiereplicatie: Op de actieve eenheidsconsole verschijnen configuratiereplicaties voor verzending naar partner en end-configuratiereplicatie voor partner.
Opmerking: geef eerst de failover-opdracht op het primaire apparaat uit en geef deze vervolgens op het secundaire apparaat uit. Nadat u de failover-opdracht op het secundaire apparaat hebt gegeven, haalt het secundaire apparaat onmiddellijk de configuratie uit het primaire apparaat en zet het zichzelf in de stand-by modus. De primaire ASA blijft omhoog en passeert normaal verkeer en markeert zichzelf als het actieve apparaat. Vanaf dat punt, wanneer een mislukking op het actieve apparaat voorkomt, komt het standby apparaat omhoog als actief.
Nadat de actieve configuratie replicatie heeft voltooid, voert u deze opdracht in om de configuratie op te slaan in Flash-geheugen:
hostname(config)#copy running-config startup-config
Forceer indien nodig een failovergroep die actief is op de primaire naar de actieve toestand op de secundaire eenheid. Om een failovergroep te dwingen actief te worden op de secundaire eenheid, moet u deze opdracht invoeren in de ruimte voor systeemuitvoering op de primaire eenheid:
hostname#no failover active group group_id
Het group_id argument geeft de groep aan die je actief wilt worden op de secondaire unit.
Dit document gebruikt de volgende configuraties:
Primaire PIX |
---|
PIX1(config)#show running-config : Saved : PIX Version 7.2(2) <system> ! hostname PIX1 enable password 8Ry2YjIyt7RRXU24 encrypted no mac-address auto ! interface Ethernet0 ! interface Ethernet0.1 vlan 2 ! interface Ethernet0.2 vlan 4 ! interface Ethernet1 ! interface Ethernet1.1 vlan 3 ! interface Ethernet1.2 vlan 5 ! !--- Configure "no shutdown" in the stateful failover interface as well as !--- LAN Failover interface of both Primary and secondary PIX/ASA. interface Ethernet2 description STATE Failover Interface ! interface Ethernet3 description LAN Failover Interface ! interface Ethernet4 shutdown ! interface Ethernet5 shutdown ! class default limit-resource All 0 limit-resource ASDM 5 limit-resource SSH 5 limit-resource Telnet 5 ! ftp mode passive pager lines 24 failover failover lan unit primary !--- Command to assign the interface for LAN based failover failover lan interface LANFailover Ethernet3 !--- Command to enable the LAN based failover failover lan enable !--- Configure the Authentication/Encryption key failover key ***** failover link stateful Ethernet2 !--- Configure the active and standby IP's for the LAN based failover failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2 failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2 failover group 1 failover group 2 secondary no asdm history enable arp timeout 14400 console timeout 0 admin-context admin context admin config-url flash:/admin.cfg ! context context1 allocate-interface Ethernet0.1 inside_context1 allocate-interface Ethernet1.1 outside_context1 config-url flash:/context1.cfg join-failover-group 1 ! context context2 allocate-interface Ethernet0.2 inside_context2 allocate-interface Ethernet1.2 outside_context2 config-url flash:/context2.cfg join-failover-group 2 ! prompt hostname context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end |
N.B.: Raadpleeg de op kabel gebaseerde failover Configuration-sectie, PIX1 - Context1 Configuration en PIX1 - Context2 Configuration voor contextconfiguratie in LAN-gebaseerd failover-scenario.
Secundaire PIX |
---|
PIX2#show running-config failover failover lan unit secondary failover lan interface LANFailover Ethernet3 failover lan enable failover key ***** failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2 |
In deze paragraaf wordt de show failover opdrachtoutput beschreven. Op elke eenheid, kunt u de failoverstatus met de opdracht show failover verifiëren.
Primaire PIX
PIX1(config-subif)#show failover Failover On Cable status: N/A - LAN-based failover enabled Failover unit Primary Failover LAN Interface: LANFailover Ethernet3 (up) Unit Poll frequency 15 seconds, holdtime 45 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 4 of 250 maximum Version: Ours 7.2(2), Mate 7.2(2) Group 1 last failover at: 06:12:45 UTC Apr 16 2007 Group 2 last failover at: 06:12:43 UTC Apr 16 2007 This host: Primary Group 1 State: Active Active time: 359610 (sec) Group 2 State: Standby Ready Active time: 3165 (sec) context1 Interface inside (192.168.1.1): Normal context1 Interface outside (172.16.1.1): Normal context2 Interface inside (192.168.2.2): Normal context2 Interface outside (172.16.2.2): Normal Other host: Secondary Group 1 State: Standby Ready Active time: 0 (sec) Group 2 State: Active Active time: 3900 (sec) context1 Interface inside (192.168.1.2): Normal context1 Interface outside (172.16.1.2): Normal context2 Interface inside (192.168.2.1): Normal context2 Interface outside (172.16.2.1): Normal Stateful Failover Logical Update Statistics Link : stateful Ethernet2 (up) Stateful Obj xmit xerr rcv rerr General 48044 0 48040 1 sys cmd 48042 0 48040 1 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 2 0 0 0 Xlate_Timeout 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 1 72081 Xmit Q: 0 1 48044
Secundaire PIX
PIX1(config)#show failover Failover On Cable status: N/A - LAN-based failover enabled Failover unit Secondary Failover LAN Interface: LANFailover Ethernet3 (up) Unit Poll frequency 15 seconds, holdtime 45 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 4 of 250 maximum Version: Ours 7.2(2), Mate 7.2(2) Group 1 last failover at: 06:12:46 UTC Apr 16 2007 Group 2 last failover at: 06:12:41 UTC Apr 16 2007 This host: Secondary Group 1 State: Standby Ready Active time: 0 (sec) Group 2 State: Active Active time: 3975 (sec) context1 Interface inside (192.168.1.2): Normal context1 Interface outside (172.16.1.2): Normal context2 Interface inside (192.168.2.1): Normal context2 Interface outside (172.16.2.1): Normal Other host: Primary Group 1 State: Active Active time: 359685 (sec) Group 2 State: Standby Ready Active time: 3165 (sec) context1 Interface inside (192.168.1.1): Normal context1 Interface outside (172.16.1.1): Normal context2 Interface inside (192.168.2.2): Normal context2 Interface outside (172.16.2.2): Normal Stateful Failover Logical Update Statistics Link : stateful Ethernet2 (up) Stateful Obj xmit xerr rcv rerr General 940 0 942 2 sys cmd 940 0 940 2 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 0 0 2 0 Xlate_Timeout 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 1 1419 Xmit Q: 0 1 940
Gebruik het bevel van de show failover staat om de staat te verifiëren.
Primaire PIX
PIX1(config)#show failover state State Last Failure Reason Date/Time This host - Primary Group 1 Active None Group 2 Standby Ready None Other host - Secondary Group 1 Standby Ready None Group 2 Active None ====Configuration State=== Sync Done ====Communication State=== Mac set
Secundaire eenheid
PIX1(config)#show failover state State Last Failure Reason Date/Time This host - Secondary Group 1 Standby Ready None Group 2 Active None Other host - Primary Group 1 Active None Group 2 Standby Ready None ====Configuration State=== Sync Done - STANDBY ====Communication State=== Mac set
Om de IP-adressen van de failover-unit te verifiëren, gebruikt u de opdracht failover interface show.
Primaire eenheid
PIX1(config)#show failover interface interface stateful Ethernet2 System IP Address: 10.0.0.1 255.255.255.0 My IP Address : 10.0.0.1 Other IP Address : 10.0.0.2 interface LANFailover Ethernet3 System IP Address: 10.1.0.1 255.255.255.0 My IP Address : 10.1.0.1 Other IP Address : 10.1.0.2
Secundaire eenheid
PIX1(config)#show failover interface interface LANFailover Ethernet3 System IP Address: 10.1.0.1 255.255.255.0 My IP Address : 10.1.0.2 Other IP Address : 10.1.0.1 interface stateful Ethernet2 System IP Address: 10.0.0.1 255.255.255.0 My IP Address : 10.0.0.2 Other IP Address : 10.0.0.1
Zo geeft u de status van de bewaakte interfaces weer: Op enige contextwijze, ga het show monitor-interface bevel in globale configuratiewijze in. In de modus met meerdere contexten voert u de monitor-interface van de show binnen een context in.
Opmerking: Om de bewaking van de gezondheid op een specifieke interface mogelijk te maken, gebruikt u het commando monitor-interface in de globale configuratiemodus:
monitor-interface <if_name>
Primaire PIX
PIX1/context1(config)#show monitor-interface This host: Secondary - Active Interface inside (192.168.1.1): Normal Interface outside (172.16.1.1): Normal Other host: Secondary - Standby Ready Interface inside (192.168.1.2): Normal Interface outside (172.16.1.2): Normal
Secundaire PIX
PIX1/context1(config)#show monitor-interface This host: Secondary - Standby Ready Interface inside (192.168.1.2): Normal Interface outside (172.16.1.2): Normal Other host: Secondary - Active Interface inside (192.168.1.1): Normal Interface outside (172.16.1.1): Normal
Opmerking: als u geen failover IP-adres invoert, geeft de opdracht show failover 0.0.0.0 weer voor het IP-adres en blijft de bewaking van de interfaces in een "wachtstaat". U moet een failover IP-adres instellen om failover te kunnen uitvoeren. Raadpleeg failover tonen voor meer informatie over verschillende statussen voor failover.
Door gebrek, wordt de controle van fysieke interfaces toegelaten, en de controle van subinterfaces is gehandicapt.
Om de failover-opdrachten in de actieve configuratie te bekijken, voert u deze opdracht in:
hostname(config)#show running-config failover
Alle failover opdrachten worden weergegeven. Op eenheden die in veelvoudige contextwijze lopen, ga het bevel van de show in werking stelt -in werking stellen-config failover in de ruimte van de systeemuitvoering in. Voer de opdracht show running-config all failover in om de failover-opdrachten in de actieve configuratie weer te geven en opdrachten op te nemen waarvoor u de standaardwaarde niet hebt gewijzigd.
Voer de volgende stappen uit om de failover-functionaliteit te testen:
Test dat uw actieve eenheid of failover groep verkeer doorgeeft zoals verwacht met FTP (bijvoorbeeld) om een bestand tussen hosts op verschillende interfaces te verzenden.
Dwing een failover aan de standby unit met deze opdracht:
Voer voor Active/Active failover de volgende opdracht in op de eenheid waar de failovergroep met de interface voor de aansluiting van uw hosts actief is:
hostname(config)#no failover active group group_id
Gebruik FTP om een ander bestand tussen dezelfde twee hosts te verzenden.
Als de test niet succesvol was, voer dan de show failover commando in om de failover status te controleren.
Als u klaar bent, kunt u de eenheid of de failover-groep met deze opdracht terugbrengen naar de actieve status:
Voer voor Active/Active failover de volgende opdracht in op de eenheid waar de failovergroep met de interface voor de aansluiting van uw hosts actief is:
hostname(config)#failover active group group_id
Typ een van de volgende opdrachten om de standby-eenheid actief te laten worden:
Voer deze opdracht in in de ruimte voor systeemuitvoering van de eenheid waar de failover-groep zich in de stand-by-stand bevindt:
hostname#failover active group group_id
Of voer deze opdracht in in de systeemuitvoeringsruimte van de eenheid waar de failover-groep zich in de actieve toestand bevindt:
hostname#no failover active group group_id
Door deze opdracht in te voeren in de ruimte voor systeemuitvoering worden alle failover-groepen actief:
hostname#failover active
Typ deze opdracht om failover uit te schakelen:
hostname(config)#no failover
Als u failover op een Active/Standby-paar uitschakelt, zorgt het ervoor dat de actieve en stand-by status van elke eenheid behouden blijft totdat u opnieuw begint. De stand-by-eenheid blijft bijvoorbeeld in de stand-by modus staan, zodat beide eenheden geen verkeer doorgeven. Raadpleeg het gedeelte Geforceerde failover om de standby-eenheid actief te maken (zelfs als failover is uitgeschakeld).
Als u failover op een actief/actief paar uitschakelt, zorgt het ervoor dat de failover-groepen in de actieve status blijven, op welke eenheid ze momenteel actief zijn, ongeacht welke eenheid ze zijn geconfigureerd om te verkiezen. De opdracht geen failover kan worden ingevoerd in de ruimte voor systeemuitvoering.
Typ deze opdracht om een mislukte Active/Active failover-groep naar een niet-mislukte status te herstellen:
hostname(config)#failover reset group group_id
Als u een mislukte eenheid terugzet naar een status die niet is mislukt, wordt de eenheid niet automatisch actief. gerestaureerde eenheden of groepen blijven in de stand-by staat totdat ze door failover actief worden gemaakt (gedwongen of natuurlijk). Een uitzondering is een failovergroep die met het pre-commando is geconfigureerd. Indien eerder actief, wordt een failover groep actief als deze is geconfigureerd met de pre-empt opdracht en als de eenheid waarop deze is mislukt de voorkeurseenheid is.
Voltooi de volgende stappen om een defecte eenheid te vervangen door een nieuwe eenheid:
Voer de opdracht geen failover uit op de primaire eenheid.
In de status van de secundaire eenheid is aangegeven dat de stand-by-eenheid niet is gedetecteerd.
Koppel de primaire eenheid los en sluit de vervangende primaire eenheid aan.
Controleer of de vervangende eenheid dezelfde software en ASDM-versie gebruikt als de secundaire eenheid.
Voer deze opdrachten uit op de vervangende eenheid:
ASA(config)#failover lan unit primary ASA(config)#failover lan interface failover Ethernet3 ASA(config)#failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2 ASA(config)#interface Ethernet3 ASA(config-if)#no shut ASA(config-if)#exit
Sluit de vervangende primaire eenheid aan op het netwerk en voer deze opdracht uit:
ASA(config)#failover
Wanneer een failover optreedt, sturen beide beveiligingstoestellen systeemberichten uit. Deze sectie omvat deze onderwerpen:
Het beveiligingstoestel geeft een aantal systeemmeldingen uit met betrekking tot failover op prioriteitsniveau 2, wat duidt op een kritieke toestand. Raadpleeg om deze berichten te bekijken de Configuratie- en systeemlogberichten van Cisco Security Appliance om de vastlegging in te schakelen en beschrijvingen van de systeemberichten te zien.
Opmerking: binnen switchover sluit failover logischerwijs en brengt interfaces omhoog, die syslog 411001 en 411002 berichten genereren. Dit is een normale activiteit.
Dit failover-bericht wordt weergegeven als één eenheid van het failover-paar niet langer kan communiceren met de andere eenheid van het paar. Primair kan ook worden vermeld als secundair voor de secundaire eenheid.
(Primair) Verloren failover communicatie met partner op interface interface_name
Controleer of het netwerk dat is verbonden met de opgegeven interface goed werkt.
Om te zien debug berichten, ga debug fover bevel in. Raadpleeg het Overzicht van opdrachten voor Cisco security applicaties, versie 7.2 voor meer informatie.
Opmerking: omdat debugging-uitvoer een hoge prioriteit krijgt in het CPU-proces, kan dit de systeemprestaties drastisch beïnvloeden. Om deze reden kunt u de debug over-opdrachten alleen gebruiken om specifieke problemen op te lossen of binnen probleemoplossingssessies met het technische ondersteuningspersoneel van Cisco.
Om SNMP-syslog traps voor failover te ontvangen, dient u de SNMP-agent te configureren om SNMP-traps naar SNMP-beheerstations te verzenden, een syslog-host te definiëren en de Cisco syslog MIB te compileren naar uw SNMP-beheerstation. Raadpleeg de opdrachten SNMP-server en vastlegging in de Opdrachtreferentie voor Cisco security applicatie, versie 7.2 voor meer informatie.
Om de poll- en wachttijden van de failover-eenheid te specificeren, geeft u de opdracht failover polltime uit in de globale configuratiemodus.
De failover polltime unit msec [time] vertegenwoordigt het tijdsinterval om het bestaan van de standby-unit te controleren door de berichten van het type failover polltime te peilen.
Op dezelfde manier vertegenwoordigt de failover holdtime unit msec [tijd] de tijdsperiode gedurende welke een unit een hello-bericht moet ontvangen op de failover-link, waarna wordt verklaard dat de peer-unit heeft gefaald.
Raadpleeg failover polltime voor meer informatie.
Fout:
Failover message decryption failure. Please make sure both units have the same failover shared key and crypto license or system is not out of memory
Dit probleem treedt op door de configuratie van de failover-toets. Om deze kwestie op te lossen, verwijder de failover sleutel, en vorm de nieuwe gedeelde sleutel.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
09-Apr-2007
|
Eerste vrijgave |