Troubleshooting do Failover FWSM
Índice
Introdução
Este documento explica os procedimentos que você pode se usar a fim resolver problemas com a configuração de failover do módulo firewall service (FWSM).
Este documento igualmente fornece uma lista de verificação de procedimentos comuns para tentar antes que você comece a pesquisar defeitos a conexão de failover.
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
A informação neste documento é baseada em FWSM 2.3 e mais atrasado.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Convenções
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Informações de Apoio
A característica do Failover permite que um FWSM à espera tome sobre a funcionalidade de um FWSM falhado. Os dois FWSM envolvidos devem ter a mesma (versão de software principal (primeiro número) e menor, a licença, e os modos operacionais do segundo número) (distribuídos ou transparentes, únicos ou contexto múltiplo). Quando a unidade ativa falhar, as mudanças de estado ao apoio, quando a unidade em standby se mover no estado ativo. Depois que um Failover ocorre, a mesma informação de conexão está disponível na unidade ativa nova.
Para a informação adicional, refira a seção configurando do Failover de usar o Failover.
Lista de verificação do Failover
Esta lista de verificação ajuda-o a configurar com sucesso o Failover no FWSM:
Verifique as relações
Verifique que todas as relações no FWSM têm um endereço IP em standby configurado. Se você não tem feito tão já, configurar o active e os endereços IP em standby para cada relação (modo roteado), ou para o endereço de gerenciamento (modo transparente). O endereço IP em standby é usado no FWSM que é atualmente a unidade em standby. Deve estar na mesma sub-rede como o endereço IP de Um ou Mais Servidores Cisco ICM NT ativo.
Este é um exemplo de configuração:
ip address <active-ip> <netmask> standby <standby-ip>
Nota: Não configurar um endereço IP de Um ou Mais Servidores Cisco ICM NT para o link failover ou para o link do estado (se você está indo usar a comutação classificada).
Nota: Você não precisa de identificar a máscara de sub-rede do endereço em standby. O endereço IP de Um ou Mais Servidores Cisco ICM NT e o MAC address do link failover não mudam no Failover. O endereço IP de Um ou Mais Servidores Cisco ICM NT ativo para o link failover fica sempre com a unidade primária, quando o endereço IP em standby ficar com a unidade secundária.
Licenças
Ambas as unidades ativa e em standby devem ter a mesma licença.
Modo do contexto
Se a unidade primária reage do único modo do contexto, a unidade secundária deve igualmente reagir no único modo do contexto e do mesmo modo de firewall que a unidade primária.
Se a unidade primária reage do modo de contexto múltiplo, a unidade secundária deve igualmente reagir do modo de contexto múltiplo. Você não precisa de configurar o modo de firewall dos contextos de segurança na unidade secundária porque os links do Failover e do estado residem no contexto do sistema. A unidade secundária obtém a configuração do contexto de segurança da unidade primária.
Nota: O comando de modo não obtém replicated à unidade secundária.
Nota: O Multicast não é apoiado no modo de contexto múltiplo da ferramenta de segurança. Refira a seção dos recursos não suportados para mais informação.
Requisitos de software
As duas unidades em uma configuração de failover devem ter a mesma (versão de software principal (primeiro número) e menor do segundo número). Contudo, você pode usar versões diferentes do software durante um processo de upgrade. Por exemplo, você pode promover uma unidade da versão 3.1(1) à versão 3.1(2) e mandar o Failover permanecer ativo. Cisco recomenda promover ambas as unidades à mesma versão para assegurar a compatibilidade a longo prazo.
Configuração FWSM mínima para a comutação classificada
FWSM preliminar
failover lan unit primaryfailover lan interface if_name vlan vlanfailover interface ip if_name ip_addr mask standby ip_addrfailover link if_name vlan vlanfailover interface ip if_name ip_addr mask standby ip_addr
FWSM secundário
failover lan unit secondaryfailover lan interface if_name vlan vlanfailover interface ip if_name ip_addr mask standby ip_addrfailover link if_name vlan vlanfailover interface ip if_name ip_addr mask standby ip_addr
Para obter mais informações sobre de como configurar o Failover ativo e à espera, refira Failover ativo/à espera configurar.
Configuração de switch mínima
-
Os VLAN enviados ao FWSM preliminar pelo catalizador que contém o fósforo preliminar da obrigação os VLAN enviaram ao FWSM secundário pelo catalizador que contém o secundário. (Saída da corrida da mostra | eu comando do Firewall devo ser idêntico.)
Chassi preliminar
cat6k-7(config)#do sh run | i fire firewall multiple-vlan-interfacesfirewall module 9 vlan-group 1firewall vlan-group 1 3,4,100-106
Chassi secundário
cat6k-7(config)#do sh run | i fire firewall multiple-vlan-interfacesfirewall module 9 vlan-group 1firewall vlan-group 1 3,4,100-106
-
Todos os VLAN que são enviados devem estam presente na base de dados de VLAN e sejam ativos.
A fim executar isto, emita estes comandos no interruptor no modo de configuração:
vlan 10no shut
A fim verificar se os VLAN estão no banco de dados e ativo, a saída do comando show vlan em ambos os chassis deve conter os VLAN enviados ao FWSM e mostrá-los como o active.
Esta é uma saída de exemplo:
Chassi preliminar
cat6k-7(config)#do sh vlanVLAN Name Status Ports---- -------------------------------- --------- -----1 default active 3 VLAN0003 active Fa4/474 VLAN0004 active Fa4/48
Chassi secundário
cat6k-7(config)#do sh vlanVLAN Name Status Ports---- -------------------------------- --------- -----1 default active 3 VLAN0003 active Fa4/474 VLAN0004 active Fa4/48
-
Certifique-se de que os dois FWSM têm a Conectividade Layer2 em cada VLAN (devem estar na mesma sub-rede).
Exigências transparentes do Firewall:
A fim evitar laços quando você usa o Failover no modo transparente, você deve usar o software de switch que apoia a transmissão da unidade de dados de protocolo de bridge (PDU). Também, você deve configurar o FWSM para permitir BPDU. A fim permitir BPDU com o FWSM, configurar Ethertype? O ACL e aplica-o a ambas as relações.
Nota: Ao contrário da plataforma PIX e ASA, o hardware de duas lâminas FWSM é sempre o mesmo, não há nenhuma modelo ou configuração de memória diferente.
Troubleshooting
Quando os reloads FWSM, as encenações explicadas nesta seção farão com que o Failover seja desabilitado.
O FWSM pode recarregar para razões tais como o impacto, restaurou do chassi, reload emitido de FWSM CLI, ou pode apenas ser um módulo novo que seja introduzido ou assentado em um entalhe diferente ou em um apoio posto do chassi.
Má combinação da versão
As duas unidades em uma configuração de failover devem ter a mesma (versão de software principal (primeiro número) e menor do segundo número).
Mensagem do syslog relacionado: 105040
Licenças incompatíveis
Você pôde receber este Syslog devido a uma licença incompatível:
FWSM-1-105045: (Primary) Mate license (number contexts) is not compatible with my license (number contexts).FWSM-1-105001: (Primary) Disabling failover.
Mensagens do syslog relacionados: 105045 e 105001
Modos diferentes (escolha contra o contexto múltiplo)
o FWSM preliminar e secundário deve reagir do mesmo modo (único ou múltiplo). Por exemplo, se o preliminar está configurado como o modo simples e o secundário enquanto o modo múltiplo e o secundário estão recarregados, a seguir ambos os módulos desligarão o Failover.
Preliminar no modo simples:
%FWSM-1-103001: (Primary) No response from other firewall (reason code = 1).%FWSM-1-105044: (Primary) Mate operational mode (Multi) is not compatible with my mode (Single).%FWSM-1-105001: (Primary) Disabling failover.
Secundário no modo múltiplo (esta lâmina é recarregada):
%FWSM-5-111008: User 'Config' executed the 'no snmp-server location' command.%FWSM-5-111008: User 'Config' executed the 'inspect tftp' command.%FWSM-5-111008: User 'Config' executed the 'service-policy global_policy global' command.%FWSM-5-111008: User 'Config' executed the 'config-url disk:/admin.cfg' command.%FWSM-5-111008: User 'Config' executed the 'prompt hostname context' command.%FWSM-4-411001: Line protocol on Interface LAN, changed state to up%FWSM-4-411001: Line protocol on Interface LAN, changed state to up%FWSM-1-105044: (Secondary) Mate operational mode (Single) is not compatible with my mode (Multi).%FWSM-1-105001: (Secondary) Disabling failover.%FWSM-6-199002: Startup completed. Beginning operation.%FWSM-6-605005: Login permitted from 127.0.0.51/15518 to eobc:127.0.0.91/telnet for user ""%FWSM-5-502103: User priv level changed: Uname: enable_15 From: 1 To: 15%FWSM-5-111008: User 'enable_15' executed the 'changeto context admin' command.
Preliminar no modo múltiplo:
%FWSM-1-105044: (Primary) Mate operational mode (Single) is not compatible with my mode (Multi).%FWSM-1-105001: (Primary) Disabling failover.
Mensagens do syslog relacionados: 105044, 103001, 105001
Dois FWSM tornam-se ativos
Quando você vir este Mensagem de Erro no log:
fw_create_pc_sw: fw_create_portchannel failed
A razão para este erro é porque o número recomendado de canais de porta no interruptor excedeu o máximo (o 128 é máximo no Cisco IOS Software release12.2(33)SXH4 em Cat6000/6500). Consequentemente, o limite do Interface Descriptor Block (IDB) está sendo esgotado.
Devido a isto, você pôde terminar acima com estas duas edições:
-
Quando você tem dois Switches com módulos FWSM cada um a atuar como ativo e à espera, dois módulos FWSM tornam-se ativos ao mesmo tempo.
-
Você não pode criar um canal de porta adicional.
Como parte de resolver a edição, suprima dos canais de porta que não são precisados e recarregue os FWSM.
Incompatibilidade de VLAN
Problema
O FWSM recebe este Mensagem de Erro: “Detectou de “Failover do mau combinação da configuração Vlan” de um companheiro ativo” “será desabilitado”.
OU
A configuração dos módulos firewall service e a configuração de switch correspondente parecem estar completas. Contudo, os FWSM são incapazes à sincronização. Esta mensagem é recebida no host secundário:
State check detected an Active mate Unable to verify vlan configuration with mate. Check that mate's failover is enabled No Response from Mate
OU
A saída do comando show failover mostra que o status de comutação no módulo secundário está, estado do Failover FWSM no Failover fora (pseudo--à espera).
FWSM-secondary(config)#show failoverFailover Off (pseudo-Standby)
Solução
O problema pôde ser a atribuição de VLAN da má combinação através do Firewall (FWSM e supervisores). Por exemplo, na indicação do grupo vlan 1 do Firewall, o mesmo número de VLAN atribuídos em cada interruptor ao Firewall pode variar. Isto pôde causar a edição. Se você atribui o mesmo número de VLAN no Firewall, a seguir o Failover trabalhará.
A fim evitar obter um erro da má combinação da configuração de VLAN, a saída do comando show vlan deve ser idêntica em ambos os FWSM. Este Mensagem de Erro ocorre somente quando você altera ou carrega a configuração de failover no FWSM. Por exemplo, quando um FWSM carreg carrega a partida-configuração do flash e tenta inicializar o Failover. Neste tempo, verifica para certificar-se que ambos os módulos estão recebendo os VLAN corretos. Se os VLAN não combinam, o Mensagem de Erro estão indicados e as sobras do Failover desabilitadas.
Nota: Para que o Failover trabalhe, o FWSM exige configurações idênticas e atribuições de porta. É possível fazer o Failover dos inter-chassis, mas cada VLAN atribuído ao Firewall deve estar no tronco entre os dois chassis.
O FWSM não inclui nenhuma interfaces física externo. Em lugar de, usa interfaces de VLAN. Atribuir VLAN ao FWSM é similar a atribuir um VLAN a uma porta de switch. O FWSM inclui uma interface interna ao módulo switch fabric (se presente) ou ao barramento compartilhado. Para mais informação, refira a atribuição de VLAN ao módulo de serviços de firewall.
Esteja ciente que o mapeamento VLAN pode obter alterado durante uma instalação de trabalho FWSM e falhará durante a bota seguinte.
O Failover é desabilitado
Quando você desabilita o Failover usando o comando no failover, o estado atual da unidade está mantido (se ativo ou à espera) até a unidade obtém recarregado. Isto é usado para desabilitar somente o Failover. A fim mudar o estado da unidade de ativo ao apoio ou vice versa, você precisa de usar o comando failover ative do [no].
Informações Relacionadas
FeedbackDeixe-nos ajudar
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)