De failover-configuratie vereist twee identieke security apparaten die op elkaar zijn aangesloten via een speciale failover-verbinding en, naar keuze, een stateful failover-verbinding. De gezondheid van de actieve interfaces en eenheden wordt bewaakt om te bepalen of aan de specifieke voorwaarden voor uitsterving is voldaan. Als aan deze voorwaarden wordt voldaan, treedt failover op.
De security applicatie ondersteunt twee failover-configuraties:
Elke failover-configuratie heeft zijn eigen methode om failover te bepalen en uit te voeren. Met Active/active failover kunnen beide eenheden netwerkverkeer doorgeven. Dit laat u lading-balanceren op uw netwerk configureren. Active/active failover is alleen beschikbaar voor eenheden die in meerdere context-modus werken. Met Active/STANDBY-failover geeft slechts één unit het verkeer door terwijl de andere unit in een stand-by toestand wacht. Active/stand-by failover is beschikbaar voor eenheden die in één of meerdere contextmodus werken. Beide configuraties ondersteunen stateful of stateless (reguliere) failover.
Een transparante firewall, is een Layer 2-firewall die werkt als een bump in de draad, of een onzichtbare firewall, en wordt niet gezien als een router op aangesloten apparaten. Dit security apparaat sluit hetzelfde netwerk aan op de binnen- en buitenkant van het apparaat. Omdat de firewall geen routed hop is, kunt u gemakkelijk een transparante firewall in een bestaand netwerk introduceren; het is niet nodig IP opnieuw aan te passen . U kunt het adaptieve security apparaat instellen om in de standaard routed firewallmodus of de transparante firewallmodus te werken. Wanneer u de modi verandert, wordt de configuratie van het adaptieve security apparaat geannuleerd omdat veel opdrachten in beide modi niet worden ondersteund. Als u al een dichtbevolkte configuratie hebt, dient u een back-up van deze configuratie te maken voordat u de modus wijzigt. u kunt deze back-upconfiguratie gebruiken als referentie wanneer u een nieuwe configuratie maakt. Raadpleeg het voorbeeld Transparent Firewall Configuration voor meer informatie over de configuratie van het firewallapparaat in Transparent-modus.
Dit document concentreert zich op de manier waarop u een actieve/actieve failover in Transparent Mode op de ASA Security Appliance kunt configureren.
Opmerking: VPN-failover wordt niet ondersteund op eenheden die in meerdere context-modi draaien. VPN-failover is alleen beschikbaar voor actieve/STANDBY-configuraties.
Cisco raadt u aan de beheerinterface niet te gebruiken voor failover, vooral voor stateful failover waarin het security apparaat voortdurend de verbindingsinformatie van het ene security apparaat naar het andere stuurt. De interface voor failover moet minstens van de zelfde capaciteit zijn als de interfaces die geregeld verkeer passeren, en terwijl de interfaces op de ASA 5540 gigabit zijn, is de beheersinterface slechts FastEthernet. De beheerinterface is alleen ontworpen voor beheerverkeer en wordt gespecificeerd als Management 0/0. Maar u kunt de alleen-beheeropdracht gebruiken om elke interface te configureren als een alleen-beheerinterface. Bovendien kunt u voor Management 0/0 de beheermodus alleen uitschakelen zodat de interface net als elke andere interface door het verkeer kan bladeren. Raadpleeg de handleiding voor Cisco security applicatie, versie 8.0 voor meer informatie over de opdracht alleen voor beheer.
Deze configuratiehandleiding biedt een voorbeeldconfiguratie die een korte introductie in de ASA/PIX 7.x Active/Standby technologie moet bevatten. Raadpleeg de ASA/PIX-opdrachtreferentie voor een grondiger betekenis van de theorie achter deze technologie.
Hardware-eis
De twee eenheden in een overnameconfiguratie moeten dezelfde hardwareconfiguratie hebben. Ze moeten hetzelfde model hebben, hetzelfde aantal en dezelfde soorten interfaces, en hetzelfde aantal RAM.
Opmerking: de twee eenheden hoeven niet hetzelfde formaat Flitser geheugen te hebben. Als u eenheden met verschillende Flash-geheugenformaten gebruikt in uw configuratie van de failover, zorg er dan voor dat de eenheid met het kleinere Flash-geheugen voldoende ruimte heeft om de software-beeldbestanden en de configuratiebestanden op te slaan. Als dit niet het geval is, mislukt de configuratie-synchronisatie van de eenheid met het grotere Flash-geheugen naar de eenheid met het kleinere Flash-geheugen.
Softwarevereisten
De twee eenheden in een overnameconfiguratie moeten zich in de operationele modi bevinden (routinematig of transparant, enkelvoudig of meervoudig kader). Ze moeten dezelfde belangrijke (eerste nummer) en mindere (tweede nummer) softwareversie hebben, maar u kunt verschillende versies van de software binnen een upgrade gebruiken. U kunt bijvoorbeeld één eenheid upgrade uitvoeren van versie 7.0(1) naar versie 7.0(2) en failover actief blijven. Cisco raadt u aan beide eenheden op dezelfde versie te upgraden om compatibiliteit op lange termijn te waarborgen.
Raadpleeg het gedeelte Downloads op nul voor failover's van Cisco Security Appliance Opdracht Line Guide, versie 8.0 voor meer informatie over het upgraden van de software op een failover-paar.
Licentievereisten
Op het ASA security apparaat platform moet ten minste één van de eenheden een onbeperkte (UR) licentie hebben.
Opmerking: het kan nodig zijn om de licenties op een failover-paar te verbeteren om extra functies en voordelen te verkrijgen. Raadpleeg Licentietoetsen op een failover-paneel voor meer informatie.
Opmerking: de gelicentieerde functies (zoals SSL VPN-peers of security contexten) op beide security apparaten die aan failover deelnemen, moeten identiek zijn.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
ASA security applicatie, versie 7.x en hoger
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Deze configuratie kan ook worden gebruikt in combinatie met deze hardware- en softwareversies:
PIX security applicatie met 7.x versie en hoger
Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.
In deze sectie worden de volgende onderwerpen beschreven:
Active/active failover is alleen beschikbaar voor security apparaten in meerdere context-modus. In een actieve/actieve configuratie van het failliet, kunnen beide veiligheidsapparaten netwerkverkeer passeren.
Bij Active/active failover verdeelt u de beveiligingscontexten op het security apparaat in groepen met failover. Een failover-groep is simpelweg een logische groep van een of meer security contexten. U kunt op het beveiligingsapparaat maximaal twee failover-groepen maken. De admin context is altijd een lid van de failovergroep 1. Om het even welke niet toegewezen veiligheidscontexten zijn ook leden van failliet groep 1 standaard.
De failover-groep vormt de basiseenheid voor failover in actieve/actieve failover. Controle van interfacekloof, failover, en active/stand-by status zijn alle eigenschappen van een failover-groep in plaats van de unit. Wanneer een actieve failover-groep faalt, verandert deze in de stand-by status terwijl de standby failover-groep actief wordt. De interfaces in de overnamegroep die actief wordt veronderstellen de MAC en IP adressen van de interfaces in de failliet groep. De interfaces in de overnamegroep die nu in de standby staat zijn, nemen de standby MAC- en IP-adressen over.
Opmerking: een uitvalgroep die niet op een eenheid werkt, betekent niet dat de eenheid heeft gefaald. De unit kan nog een andere failover-groep hebben die er verkeer op doorgeeft.
Net als in Active/Standby-failover wordt één eenheid in een actief/actief failover-paar aangewezen als de primaire eenheid en de andere eenheid als secundaire eenheid. Anders dan Active/Standby-failover geeft deze aanwijzing niet aan welke eenheid actief wordt wanneer beide eenheden tegelijkertijd starten. In plaats daarvan doet de primaire/secundaire benaming twee dingen:
Bepaalt welke eenheid de actieve configuratie aan het paar biedt wanneer ze tegelijkertijd opstarten.
Bepaalt op welke eenheid elke failover-groep in de actieve status verschijnt wanneer de eenheden tegelijkertijd opstarten. Elke failover-groep in de configuratie is ingesteld met een primaire of secundaire eenheidvoorkeuren. U kunt beide groepen in de actieve status op één eenheid in het paar configureren, met de andere eenheid die de overvalgroepen in de stand-by status bevat. Maar, een meer typische configuratie is om elke failovergroep een verschillende rolvoorkeur toe te wijzen om elke actief op een verschillende eenheid te maken, en het verkeer over de apparaten te verdelen.
Opmerking: het security apparaat biedt geen taakverdeling. Het taakverdeling moet worden verwerkt door een router die verkeer naar het beveiligingsapparaat doorgeeft.
Welke eenheid elke failover-groep actief wordt, wordt bepaald zoals wordt weergegeven
Als een unit opstart terwijl de peer unit niet beschikbaar is, worden beide failover-groepen actief op de unit.
Wanneer een unit opstart terwijl de peer unit actief is (met beide overvalgroepen in de actieve toestand), blijven de overnamegroep in de actieve toestand op de actieve eenheid ongeacht de primaire of secundaire voorkeur van de overnamegroep tot een van deze voorvallen:
Er treedt een uitvalssituatie op.
U forceert de failover-groep handmatig naar de andere eenheid met de geen failover actieve opdracht
U stelde de failover-groep in met de opdracht vooruitlopen, waardoor de failover-groep automatisch actief wordt op de favoriete eenheid wanneer de unit beschikbaar wordt.
Wanneer beide eenheden tegelijkertijd opstarten, wordt elke failover-groep actief op de favoriete eenheid nadat de configuraties zijn gesynchroniseerd.
Configuratie-synchronisatie vindt plaats wanneer een of beide eenheden in een failover-paar worden opgestart. De configuraties zijn gesynchroniseerd zoals wordt getoond:
Wanneer een eenheid opstart terwijl de peer unit actief is (waarbij beide overvalgroepen actief zijn), neemt de starteenheid contact op met de actieve eenheid om de actieve configuratie te verkrijgen, ongeacht de primaire of secundaire aanwijzing van de starteenheid.
Wanneer beide eenheden tegelijkertijd starten, verkrijgt de secundaire eenheid de actieve configuratie vanuit de primaire eenheid.
Wanneer de replicatie wordt gestart, wordt de veiligheidswasmachineconnector op de eenheid die de configuratie verstuurt, weergegeven in het bericht "Beginnende configuratie-replicatie: Verzenden naar partner" en na voltooiing van het programma geeft het security apparaat het bericht "End Configuration Reporting to maat" weer. Tijdens replicatie kunnen opdrachten die op de unit zijn ingevoerd en die de configuratie niet correct naar de peer-unit doorsturen, en kunnen er opdrachten op de unit worden ingevoerd die de configuratie ontvangt, worden overschreven door de ontvangen configuratie. Geen opdrachten op een van beide eenheden in het failover-paar tijdens het configuratie-replicatieproces. De replicatie, die afhankelijk is van de grootte van de configuratie, kan van een paar seconden tot een aantal minuten duren.
Op de eenheid die de configuratie ontvangt, bestaat de configuratie alleen in actief geheugen. Om de configuratie in Flash geheugen op te slaan na synchronisatie, moet u alle opdracht in het systeemexecutie-gebied van de eenheid invoeren die in de actieve staat een overnamegroep 1 heeft. De opdracht wordt gerepliceerd naar de peer unit, die vervolgens de configuratie naar Flash geheugen schrijft. Het gebruik van het alle sleutelwoord met deze opdracht veroorzaakt dat het systeem en alle contextconfiguraties worden opgeslagen.
Opmerking: Opstartconfiguraties die op externe servers zijn opgeslagen, zijn toegankelijk vanuit beide eenheden via het netwerk en hoeven niet afzonderlijk voor elke eenheid te worden opgeslagen. U kunt ook de configuratiebestanden van de configuratie van de contexten van de disk op de primaire eenheid naar een externe server kopiëren en ze vervolgens op schijf op de secundaire eenheid kopiëren, waar ze beschikbaar komen wanneer de unit opnieuw wordt geladen.
Nadat beide eenheden actief zijn, worden er opdrachten van de ene eenheid naar de andere herhaald, zoals wordt weergegeven:
Opdrachten die binnen een beveiligingscontext zijn ingevoerd, worden overgenomen van de eenheid waarop de beveiligingscontext in de actieve toestand verschijnt naar de peer unit.
OPMERKING: context wordt in de actieve toestand van een eenheid overwogen indien de overnamegroep waartoe zij behoort in de actieve staat van die eenheid is.
Opdrachten die in de ruimte voor systeemuitvoering zijn ingevoerd, worden nagevolgd van de eenheid waarop de failover-groep 1 in de actieve toestand is, naar de eenheid waarop de failover-groep 1 in de stand-by status staat.
Opdrachten die in de beheercontext zijn ingevoerd, worden gerepliceerd van de eenheid waarop de failover-groep 1 in de actieve toestand is, naar de eenheid waarop de failover-groep 1 in de stand-by status staat.
Alle configuratie- en bestandsopdrachten (kopiëren, hernoemen, verwijderen, mkdir, rmdir enzovoort) worden herhaald, met deze uitzonderingen. De opdrachten voor de unit show, debug, mode en firewall en failover LAN worden niet herhaald.
Als u de opdrachten in de juiste eenheid niet invoert zodat opdrachtreplicatie kan plaatsvinden, kunnen de configuraties niet synchroniseren. Deze veranderingen gaan mogelijk verloren de volgende keer dat de eerste configuratie synchronisatie plaatsvindt.
U kunt de opdracht schrijfstand gebruiken om configuraties te resynchroniseren die uit sync zijn geraakt. Voor Active/schrijf stand-by-actieve failover dient de stand-by opdracht om te schrijven zoals wordt weergegeven:
Als u de opdracht schrijfstand in de ruimte voor systeemuitvoering invoert, worden de systeemconfiguratie en de configuraties voor alle beveiligingscontexten op het security apparaat naar de peer unit geschreven. Dit omvat configuratieinformatie voor de veiligheidscontexten die in de standby staat zijn. U moet de opdracht in de ruimte van de systeemuitvoering invoeren op de eenheid die in de actieve staat een overnamegroep 1 heeft.
Opmerking: Als er in de actieve toestand een beveiligingscontext op de peer unit is, veroorzaakt de opdracht schrijfstandby actieve verbindingen door deze contexten om te worden beëindigd. Gebruik de opdracht over failover op de eenheid die de configuratie biedt, om ervoor te zorgen dat alle contexten actief zijn op die eenheid voordat u de schrijfstandby-opdracht invoert.
Als u de schrijfstandby opdracht in een beveiligingscontext invoert, wordt alleen de configuratie voor de beveiligingscontext aan de peer unit geschreven. U moet de opdracht in de beveiligingscontext van de unit invoeren waar de beveiligingscontext in de actieve toestand verschijnt.
Opdrachten met replicatie worden niet opgeslagen in het Flash-geheugen wanneer deze worden gekopieerd naar de peer-unit. Ze worden toegevoegd aan de lopende configuratie. Om herhaalde opdrachten in het geheugen van de flitser op beide eenheden op te slaan, gebruik het schrijfgeheugen of kopie in werking stellen-configuratie opstartende - configuratie opdracht op de eenheid waarop u de wijzigingen aanbracht. De opdracht wordt herhaald naar de peer unit en zorgt ervoor dat de configuratie wordt opgeslagen in Flash geheugen op de peer unit.
Bij Active/active failover kan failover op het niveau van de eenheid worden geactiveerd als een van deze gebeurtenissen zich voordoet:
De eenheid heeft een hardwarestoring.
Het apparaat heeft een stroomuitval.
De eenheid heeft een softwarestoring.
De geen failover actief of de failover actieve opdracht wordt ingevoerd in de ruimte van de systeemuitvoering.
Failover wordt geactiveerd op het niveau van de failovergroep wanneer een van deze gebeurtenissen zich voordoet:
Teveel gecontroleerde interfaces in de groep ontbreken.
De geen opdracht van de groep actief groep_id of de groep_id wordt ingevoerd.
In een actieve/actieve configuratie van de overnamegroep, komt de overname voor op een basis van de overnamegroep, niet op een systeembasis. Bijvoorbeeld, als u beide overnamegroepen als actief op de primaire eenheid aanwijst, en de failovergroep 1 faalt, dan blijft de failovergroep 2 actief op de primaire eenheid terwijl de overnamegroep 1 actief op de secundaire eenheid wordt.
Opmerking: Wanneer u de actieve/actieve failover configureren, zorg er dan voor dat het gecombineerde verkeer voor beide eenheden binnen de capaciteit van elke eenheid valt.
Deze tabel toont de overnameactie voor elke mislukkingsgebeurtenis. Voor elke mislukkingsgebeurtenis, wordt het beleid, ongeacht of failover plaatsvindt, acties voor de actieve failovergroep, en acties voor de standby failover groep gegeven.
gebeurtenis | Beleidsbeleid | Actie actieve groep | actie van de groep Standby | Opmerkingen |
---|---|---|---|---|
Een eenheid heeft een stroomuitval of softwarestoring | failover | Word standby Mark als mislukt | Word stand-by. Mark actief als mislukt | Wanneer een eenheid in een failoverpaar faalt, worden alle actieve overvalgroepen op die eenheid gemarkeerd als mislukt en worden actief op de peer unit. |
Interfacefout bij actieve overnamegroep boven drempelwaarde | failover | De actieve groep Mark als mislukt | Word actief | None |
Interface faalt bij standby-failover-groep boven drempelwaarde | Geen failover | Geen actie | Mark stand-by groep als mislukt | Wanneer de stand-by failover-groep wordt gemarkeerd als gefaald, probeert de actieve failover-groep niet over te falen, zelfs als de drempel voor interfacekoudheid wordt overschreden. |
Formeel actieve overnamegroep herstelt | Geen failover | Geen actie | Geen actie | Tenzij anders ingesteld met de voorproefopdracht, blijven de overnamegroepen actief op hun huidige eenheid. |
failover-link mislukt bij opstarten | Geen failover | Word actief | Word actief | Als de failover link bij opstarten is, worden beide failover groepen op beide eenheden actief. |
Stateful failover-link mislukt | Geen failover | Geen actie | Geen actie | De staatsinformatie wordt verouderd, en de sessies worden beëindigd als er een failover optreedt. |
Een failover-verbinding is mislukt tijdens gebruik | Geen failover | N.v.t. | N.v.t. | Elke eenheid tekent de failover-interface als mislukt. U dient de failover-link zo snel mogelijk te herstellen omdat de unit niet in de standby-unit kan slagen als de failover-link is uitgevallen. |
Het security apparaat ondersteunt twee typen uitvalbeveiligingssystemen, regelmatig en stateful. Deze sectie omvat deze onderwerpen:
Wanneer een failover optreedt, worden alle actieve verbindingen verbroken. Clients moeten opnieuw verbindingen opzetten wanneer de nieuwe actieve eenheid de overname uitvoert.
Als stateful failover is ingeschakeld, geeft de actieve unit de informatie over de toestand per verbinding voortdurend door naar de stand-by unit. Na een failover is dezelfde verbindingsinformatie beschikbaar in de nieuwe actieve eenheid. Ondersteunde eindgebruikerstoepassingen hoeven niet opnieuw te worden aangesloten om dezelfde communicatiesessie te behouden.
De state informatie die aan de standby unit wordt doorgegeven omvat de volgende:
De NAT-vertaaltabel
De TCP-verbindingsstaten
De UDP-verbindingsstaten
De ARP-tabel
Layer 2 bridge-tabel (wanneer deze in de transparante firewallmodus draait)
De HTTP-verbindingsstaten (als HTTP-replicatie is ingeschakeld)
De tabel ISAKMP en IPSec SA
De GTP PDP-verbindingsdatabase
De informatie die niet aan de standby unit wordt doorgegeven wanneer stateful failover is ingeschakeld, omvat onder meer:
De HTTP-verbindingstabel (tenzij HTTP-replicatie is ingeschakeld)
De gebruikershandleiding (Uauth)
De routingtabellen
Staatsinformatie voor veiligheidsservicemodules
OPMERKING: Als failover optreedt binnen een actieve Cisco IP SoftPhone-sessie, blijft de oproep actief omdat de informatie over de gesprekssessie wordt gerepliceerd naar de standby-unit. Wanneer de vraag wordt beëindigd, verliest de IP SoftPhone client verbinding met de Call Manager. Dit gebeurt omdat er geen sessieinformatie voor het CTIQBE hang-up bericht op de standby unit is. Wanneer de IP SoftPhone-client geen antwoord van de Call Manager binnen een bepaalde tijdspanne ontvangt, beschouwt hij de Call Manager onbereikbaar en maakt hij zich onbekend.
U kunt failover niet configureren met deze typen IP-adressen:
IP-adressen via DHCP
IP-adressen die via PPPoE zijn verkregen
IPv6-adressen
Bovendien zijn deze beperkingen van toepassing:
Stateful failover wordt niet ondersteund op het ASA 5505 adaptieve security apparaat.
Active/active failover wordt niet ondersteund op het ASA 5505 adaptieve security apparaat.
U kunt failover niet configureren wanneer Easy VPN Remote is ingeschakeld op het ASA 5505 adaptieve security apparaat.
VPN-failover wordt niet ondersteund in meerdere context-modus.
De meerdere contextmodus ondersteunt deze functies niet:
Dynamische routingprotocollen
Beveiligingscontexten ondersteunen alleen statische routes. U kunt OSPF of RIP niet in meervoudige contextmodus inschakelen.
VPN
Multicast
Het netwerk in dit document is als volgt opgebouwd:
In deze sectie wordt beschreven hoe u Active/Active failover kunt configureren met een Ethernet-failover-link. Wanneer u LAN-gebaseerde failover configureren moet u het secundaire apparaat opnieuw opstarten om de failover-link te herkennen voordat het secundaire apparaat de actieve configuratie vanaf het primaire apparaat kan verkrijgen.
Opmerking: In plaats van een cross-over Ethernet-kabel om de eenheden rechtstreeks te verbinden, raadt Cisco u aan een speciale switch tussen de primaire en secundaire eenheden te gebruiken.
Deze sectie omvat de onderwerpen zoals getoond:
Voltooi deze stappen om de primaire eenheid in een actieve/actieve configuratie van de failover te configureren:
Als u dit nog niet gedaan hebt, moet u de actieve en standby IP-adressen configureren voor elke gegevensinterface (Routed Mode), voor het IP-adres van het beheer (transparante modus) of voor de interface alleen-beheer. Het standby IP-adres wordt gebruikt op het security apparaat dat momenteel de stand-by unit is. Het moet in zelfde netto zoals het actieve IP adres zijn.
U moet de interfaceadressen van binnen elke context configureren. Gebruik de opdracht Omzetten context om tussen de contexten te switches. De opdracht prompt verandert in hostname/context (configuratie-als)#, waar context de naam van de huidige context is. In transparante firewallmodus moet u voor elke context een IP-adres voor beheer invoeren.
N.B.: Configureer geen IP-adres voor de stateful failover-link als u een speciale stateful failover-interface gebruikt. U gebruikt de ip-opdracht van de overvalinterface om in een latere stap een speciale stateful failover-interface te configureren.
hostname/context(config-if)#ip address active_addr netmask standby standby_addr
In het voorbeeld wordt de externe interface voor context 1 van de primaire ASA op deze manier geconfigureerd:
ASA/context1(config)#ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
Voor context2:
ASA/context2(config)#ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
In routed firewallmodus en voor de beheerinterface wordt deze opdracht ingevoerd in de interfaceconfiguratiemodus voor elke interface. In transparante firewallmodus wordt de opdracht ingevoerd in de mondiale configuratiemodus.
Configureer de basisparameters voor de failover in de ruimte voor systeemuitvoering.
(PIX-beveiligingsapparaat alleen) LAN-gebaseerde failover inschakelen:
hostname(config)#failover lan enable
Wijs de eenheid aan als primaire eenheid:
hostname(config)#failover lan unit primary
Specificeer de failover-link:
hostname(config)#failover lan interface if_name phy_if
In dit voorbeeld gebruiken we interface Ethernet 3 als LAN-gebaseerde failover-interface.
ASA(config)#failover lan interface LANFailover ethernet3
Het if_name argument wijst een logische naam toe aan de interface gespecificeerd door het phy_if argument. Het phy_if argument kan de fysieke naam van de poort zijn, zoals Ethernet1, of een eerder gemaakte subinterface, zoals Ethernet0/2.3. Op het ASA 5505 adaptieve security apparaat, specificeert phy_if VLAN. Deze interface moet niet voor een ander doel worden gebruikt (behalve, naar keuze, de stateful failover-link).
Specificeer de failover link actief en standby IP adressen:
hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
Bijvoorbeeld, gebruiken wij 10.1.0.1 als actief en 10.1.0.2 als standby IP adressen voor de interface van de failover.
ASA(config)#failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2
Het standby IP-adres moet in dezelfde mate als het actieve IP-adres zijn. U hoeft het stand-by IP-adressubmasker niet te identificeren. Het IP-adres voor de failover-verbinding en het MAC-adres veranderen niet bij failover. Het actieve IP-adres blijft altijd bij de primaire eenheid, terwijl het standby IP-adres bij de secundaire eenheid blijft.
Wanneer u LAN-gebaseerde Active/Active failover configureren moet u de secundaire unit opnieuw opstarten om de failover-link te herkennen. Hierdoor kan de secundaire eenheid communiceren met de basiseenheid en de configuratie ervan ontvangen.
Voltooi deze stappen om de secundaire eenheid in een actieve/actieve configuratie van de failover te starten:
(PIX-beveiligingsapparaat alleen) Schakel een LAN-gebaseerde failover in.
hostname(config)#failover lan enable
Defineert de failover-interface. Gebruik dezelfde instellingen als u voor de primaire eenheid hebt gebruikt:
Specificeer de interface die als de failover-interface moet worden gebruikt.
hostname(config)#failover lan interface if_name phy_if
ASA(config)#failover lan interface LANFailover ethernet3
Het if_name argument wijst een logische naam toe aan de interface gespecificeerd door het phy_if argument. Het phy_if argument kan de fysieke naam van de poort zijn, zoals Ethernet1, of een eerder gemaakte subinterface, zoals Ethernet0/2.3. Op het ASA 5505 adaptieve security apparaat, specificeert phy_if VLAN.
Pas het actieve en standby IP-adres aan de failover-link toe:
hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr
ASA(config)#failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2
Opmerking: Voer deze opdracht in zoals u deze op de primaire eenheid hebt ingevoerd wanneer u de failover-interface hebt ingesteld.
Het standby IP-adres moet in dezelfde mate als het actieve IP-adres zijn. U hoeft het stand-by adressubmasker niet te identificeren.
Schakel de interface in.
hostname(config)#interface phy_if
hostname(config-if)#no shutdown
Wijs deze eenheid aan als secundaire eenheid:
hostname(config)#failover lan unit secondary
Opmerking: Deze stap is optioneel omdat standaardinstellingen zijn aangewezen als secundair, tenzij eerder anders ingesteld.
Schakel failover in.
hostname(config)#failover
Nadat u failover hebt ingeschakeld, stuurt de actieve eenheid de configuratie in het actieve geheugen naar de stand-by unit. Als de configuratie gesynchroniseerd is, beginnen de berichten met configuratie replicatie: Verzenden naar partner- en end-of-end configuratie replicatie om te paren verschijnt op de actieve eenheidconsole.
Opmerking: Geef eerst de failover-opdracht op het primaire apparaat uit en geef deze dan op het secundaire apparaat uit. Nadat u de opdracht failover op het secundaire apparaat geeft, trekt het secundaire apparaat onmiddellijk de configuratie van het primaire apparaat terug en stelt zichzelf in als stand-by. De primaire ASA blijft omhoog en passeert normaal verkeer en tekent zichzelf als het actieve apparaat. Vanaf dat punt op, wanneer een storing op het actieve apparaat optreedt, komt het stand-by apparaat op als actief.
Nadat de actieve configuratie replicatie heeft voltooid, voer deze opdracht in om de configuratie in Flash geheugen op te slaan:
hostname(config)#copy running-config startup-config
Indien nodig, forceer elke overnamegroep die actief is op de primaire in de actieve staat op de secundaire eenheid. Om een overnamegroep te dwingen om actief te worden op de secundaire eenheid, voer deze opdracht in de ruimte van de systeemuitvoering op de primaire eenheid in:
hostname#no failover active group group_id
Het group_id argument specificeert de groep die u actief wilt worden op de secundaire eenheid.
Dit document gebruikt deze configuraties:
Primaire ASA - configuratie van Context1 |
---|
ASA/context1(config)#show running-config : Saved : ASA Version 7.2(3) |
Primaire ASA - configuratie Context2 |
---|
ASA/context2(config)#show running-config : Saved : ASA Version 7.2(3) |
Primaire ASA |
---|
ASA(config)#show running-config : Saved : ASA Version 7.2(3) <system> ! !--- Use the firewall transparent command !--- in global configuration mode in order to !--- set the firewall mode to transparent mode. firewall transparent hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted no mac-address auto ! interface Ethernet0 ! interface Ethernet0.1 vlan 2 ! interface Ethernet0.2 vlan 4 ! interface Ethernet1 ! interface Ethernet1.1 vlan 3 ! interface Ethernet1.2 vlan 5 ! !--- Configure "no shutdown" in the stateful failover interface as well as !--- LAN Failover interface of both Primary and secondary ASA/PIX. interface Ethernet2 description STATE Failover Interface ! interface Ethernet3 description LAN Failover Interface ! interface Ethernet4 shutdown ! interface Ethernet5 shutdown ! class default limit-resource All 0 limit-resource ASDM 5 limit-resource SSH 5 limit-resource Telnet 5 ! ftp mode passive pager lines 24 failover failover lan unit primary !--- Command to assign the interface for LAN based failover failover lan interface LANFailover Ethernet3 !--- Configure the Authentication/Encryption key failover key ***** failover link stateful Ethernet2 !--- Configure the active and standby IP's for the LAN based failover failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2 failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2 failover group 1 failover group 2 secondary no asdm history enable arp timeout 14400 console timeout 0 admin-context admin context admin config-url flash:/admin.cfg ! context context1 allocate-interface Ethernet0.1 inside_context1 allocate-interface Ethernet1.1 outside_context1 config-url flash:/context1.cfg join-failover-group 1 ! context context2 allocate-interface Ethernet0.2 inside_context2 allocate-interface Ethernet1.2 outside_context2 config-url flash:/context2.cfg join-failover-group 2 ! prompt hostname context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end |
Secundaire ASA |
---|
ASA#show running-config failover failover lan unit secondary failover lan interface LANFailover Ethernet3 failover key ***** failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2 |
In dit gedeelte wordt de opdrachtoutput getoond. Op elke eenheid kunt u de overnamestatus controleren met de opdracht failover.
Primaire ASA
ASA(config-subif)#show failover Failover On Cable status: N/A - LAN-based failover enabled Failover unit Primary Failover LAN Interface: LANFailover Ethernet3 (up) Unit Poll frequency 15 seconds, holdtime 45 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 4 of 250 maximum Version: Ours 7.2(3), Mate 7.2(3) Group 1 last failover at: 06:12:45 UTC Jan 17 2009 Group 2 last failover at: 06:12:43 UTC Jan 17 2009 This host: Primary Group 1 State: Active Active time: 359610 (sec) Group 2 State: Standby Ready Active time: 3165 (sec) context1 Interface inside (192.168.1.1): Normal context1 Interface outside (172.16.1.1): Normal context2 Interface inside (192.168.2.2): Normal context2 Interface outside (172.16.2.2): Normal Other host: Secondary Group 1 State: Standby Ready Active time: 0 (sec) Group 2 State: Active Active time: 3900 (sec) context1 Interface inside (192.168.1.2): Normal context1 Interface outside (172.16.1.2): Normal context2 Interface inside (192.168.2.1): Normal context2 Interface outside (172.16.2.1): Normal Stateful Failover Logical Update Statistics Link : stateful Ethernet2 (up) Stateful Obj xmit xerr rcv rerr General 48044 0 48040 1 sys cmd 48042 0 48040 1 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 2 0 0 0 Xlate_Timeout 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 1 72081 Xmit Q: 0 1 48044
Secundaire ASA
ASA(config)#show failover Failover On Cable status: N/A - LAN-based failover enabled Failover unit Secondary Failover LAN Interface: LANFailover Ethernet3 (up) Unit Poll frequency 15 seconds, holdtime 45 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 4 of 250 maximum Version: Ours 7.2(3), Mate 7.2(3) Group 1 last failover at: 06:12:46 UTC Jan 17 2009 Group 2 last failover at: 06:12:41 UTC Jan 17 2009 This host: Secondary Group 1 State: Standby Ready Active time: 0 (sec) Group 2 State: Active Active time: 3975 (sec) context1 Interface inside (192.168.1.2): Normal context1 Interface outside (172.16.1.2): Normal context2 Interface inside (192.168.2.1): Normal context2 Interface outside (172.16.2.1): Normal Other host: Primary Group 1 State: Active Active time: 359685 (sec) Group 2 State: Standby Ready Active time: 3165 (sec) context1 Interface inside (192.168.1.1): Normal context1 Interface outside (172.16.1.1): Normal context2 Interface inside (192.168.2.2): Normal context2 Interface outside (172.16.2.2): Normal Stateful Failover Logical Update Statistics Link : stateful Ethernet2 (up) Stateful Obj xmit xerr rcv rerr General 940 0 942 2 sys cmd 940 0 940 2 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 0 0 2 0 Xlate_Timeout 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 1 1419 Xmit Q: 0 1 940
Gebruik de opdracht status failover om de staat te controleren.
Primaire ASA
ASA(config)#show failover state State Last Failure Reason Date/Time This host - Primary Group 1 Active None Group 2 Standby Ready None Other host - Secondary Group 1 Standby Ready None Group 2 Active None ====Configuration State=== Sync Done ====Communication State=== Mac set
Secundaire eenheid
ASA(config)#show failover state State Last Failure Reason Date/Time This host - Secondary Group 1 Standby Ready None Group 2 Active None Other host - Primary Group 1 Active None Group 2 Standby Ready None ====Configuration State=== Sync Done - STANDBY ====Communication State=== Mac set
Om de IP-adressen van de failover-unit te controleren, gebruikt u de show failover-interface.
Primaire eenheid
ASA(config)#show failover interface interface stateful Ethernet2 System IP Address: 10.0.0.1 255.255.255.0 My IP Address : 10.0.0.1 Other IP Address : 10.0.0.2 interface LANFailover Ethernet3 System IP Address: 10.1.0.1 255.255.255.0 My IP Address : 10.1.0.1 Other IP Address : 10.1.0.2
Secundaire eenheid
ASA(config)#show failover interface interface LANFailover Ethernet3 System IP Address: 10.1.0.1 255.255.255.0 My IP Address : 10.1.0.2 Other IP Address : 10.1.0.1 interface stateful Ethernet2 System IP Address: 10.0.0.1 255.255.255.0 My IP Address : 10.0.0.2 Other IP Address : 10.0.0.1
Zo ziet u de status van gecontroleerde interfaces: In één contextmodus voert u de opdracht monitor-interface in de mondiale configuratiemodus in. In meerdere context modus, voer de show monitor-interface in binnen een context.
Opmerking: Gebruik de opdracht monitor-interface om in de configuratie van de configuratie de gezondheid op een specifieke interface te bewaken:
monitor-interface <if_name>
Primaire ASA
ASA/context1(config)#show monitor-interface This host: Secondary - Active Interface inside (192.168.1.1): Normal Interface outside (172.16.1.1): Normal Other host: Secondary - Standby Ready Interface inside (192.168.1.2): Normal Interface outside (172.16.1.2): Normal
Secundaire ASA
ASA/context1(config)#show monitor-interface This host: Secondary - Standby Ready Interface inside (192.168.1.2): Normal Interface outside (172.16.1.2): Normal Other host: Secondary - Active Interface inside (192.168.1.1): Normal Interface outside (172.16.1.1): Normal
Opmerking: Als u geen IP-adres voor failover invoert, geeft de opdracht failover 0.0.0.0 voor het IP-adres weer en is controle van de interfaces in de wachtstand aanwezig. U moet een IP-adres voor failover instellen om te kunnen werken. Raadpleeg failover voor meer informatie over verschillende staten voor failover.
Ga deze opdracht in om de overvalopdrachten in de actieve configuratie te bekijken:
hostname(config)#show running-config failover
Alle failover-opdrachten worden weergegeven. Op eenheden die in meerdere context mode lopen, voer de show in werking stellen-in-configuratie opdracht in in de ruimte van de systeemuitvoering in. Voer de show in werking stellen-configuratie alle opdracht voor failover in om de failoveropdrachten in de actieve configuratie te tonen en neem opdrachten op waarvoor u de standaardwaarde niet hebt gewijzigd.
Voltooi deze stappen om de functionaliteit voor een failover te testen:
Test dat uw actieve eenheid of de failovergroep verkeer zoals verwacht met FTP doorgeeft, bijvoorbeeld om een bestand tussen hosts op verschillende interfaces te verzenden.
Forceer een failover naar de standby unit met deze opdracht:
Voor Active/Active failover voert u deze opdracht in op de unit waar de failover-groep actief is, die de interface bevat die uw hosts met elkaar verbindt:
hostname(config)#no failover active group group_id
Gebruik FTP om een ander bestand tussen dezelfde twee hosts te verzenden.
Als de test geen succes had, voer de show failover opdracht in om de failover status te controleren.
Als u klaar bent, kunt u met deze opdracht de eenheid of de failover-groep terugzetten naar de actieve status:
Voor Active/Active failover voert u deze opdracht in op de unit waar de failover-groep actief is, die de interface bevat die uw hosts met elkaar verbindt:
hostname(config)#failover active group group_id
Voer een van deze opdrachten in om de standby-unit actief te maken:
Voer deze opdracht in de ruimte voor systeemuitvoering van de eenheid in waar de overnamegroep in de stand-by staat staat:
hostname#failover active group group_id
Of voer deze opdracht in de ruimte voor systeemuitvoering van de eenheid in waar de overnamegroep in de actieve staat is:
hostname#no failover active group group_id
Wanneer u deze opdracht in het systeem invoert, zorgt de uitvoerruimte ervoor dat alle overvalgroepen actief worden:
hostname#failover active
Typ deze opdracht om failover uit te schakelen:
hostname(config)#no failover
Als u failover op een actief/Standby paar uitschakelt, zorgt dit ervoor dat de actieve en stand-by status van elke eenheid behouden blijft totdat u opnieuw begint. De standby-unit blijft bijvoorbeeld in de stand-by modus zodat beide eenheden niet met het verkeer beginnen te werken. Zie het gedeelte Gedwongen failover voor het actief maken van de standby-unit (zelfs met uitschakeling van failover).
Als u failover op een actief/actief paar uitschakelt, zorgt dit ervoor dat de failover-groepen in de actieve status blijven op de eenheid waarop ze momenteel actief zijn, ongeacht welke eenheid ze hebben ingesteld om er de voorkeur aan te geven. De opdracht geen failover kan in de ruimte voor systeemuitvoering worden ingevoerd.
Om een mislukte actieve/actieve overnamegroep in een onmislukte staat te herstellen, voer deze opdracht in:
hostname(config)#failover reset group group_id
Als u een mislukt apparaat in een niet-geannuleerde staat herstelt, wordt het niet automatisch actief; de gerestaureerde eenheden of groepen blijven in de stand-by staat tot zij actief zijn door middel van een failover (gedwongen of natuurlijk). Een uitzondering is een failover groep gevormd met de pre-empt opdracht. Als eerder actief was, wordt een failover-groep actief als deze is ingesteld met de voorproefopdracht en als de unit waarvoor deze heeft gefaald zijn voorkeurseenheid is.
Wanneer een failover optreedt, sturen beide veiligheidsapparaten systeemmeldingen uit. Deze sectie omvat deze onderwerpen:
Het beveiligingsapparaat geeft een aantal systeemmeldingen uit met betrekking tot de failover op prioriteitsniveau 2, wat een kritieke toestand aangeeft. Om deze berichten te bekijken, raadpleegt u de Cisco Security applicatie Logging Configuration en de System Log Messages om vastlegging mogelijk te maken en de beschrijvingen van de systeemmeldingen te zien.
Opmerking: Binnen de overschakeling sluit de failover logischerwijs en brengt ze interfaces op, die syslog 41001 en 411002 berichten genereren. Dit is een normale activiteit.
Dit failover-bericht wordt weergegeven als één eenheid van het failover-paar niet langer kan communiceren met de andere eenheid van het paar. Primair kan ook als secundair worden opgegeven voor de secundaire eenheid.
(Primair) Lost Failover communicatie met partner op interface_name
Controleer of het netwerk dat is aangesloten op de ingestelde interface correct werkt.
Voer de opdracht debug fover in om meldingen te zien zuiveren. Raadpleeg de handleiding voor Cisco security applicatie, versie 7.2 voor meer informatie.
N.B.: Omdat de debugging-uitvoer een hoge prioriteit krijgt in het CPU-proces, kan dit de systeemprestaties drastisch beïnvloeden. Om deze reden, gebruik de opdrachten Debug over om alleen problemen op te lossen of binnen sessies met technische ondersteuning van Cisco.
Om SNMP syslogvallen voor failover te ontvangen, moet u de SNMP-agent configureren om SNMP-traps naar SNMP-beheerstations te verzenden, een syslog-host definiëren en de Cisco Slug MIB in uw SNMP-beheerstation compileren. Raadpleeg de opdrachten voor en loggen in de Cisco Security Appliance, versie 7.2 voor meer informatie.
Om de vraag van de de failliet unit en de houdtijden te specificeren, geeft u de opdracht van de overnameploeg in mondiale configuratiemodus uit.
De unit msec [time] van de failover vertegenwoordigt het tijdinterval om het bestaan van de standby unit te controleren door hallo berichten te stemmen.
Op dezelfde manier vertegenwoordigt de overslageenheid msec [time] de periode gedurende welke een eenheid een hallo bericht op de overnamekaart moet ontvangen, waarna de peer unit gedeclareerd wordt om gefaald te hebben.
Raadpleeg de overloopmodus voor meer informatie.
Fout:
Failover message decryption failure. Please make sure both units have the same failover shared key and crypto license or system is not out of memory
Dit probleem doet zich voor door de configuratie van de uitvaltoets. Om dit probleem op te lossen, verwijder de failover-toets en stel de nieuwe gedeelde toets in.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
16-Sep-2009 |
Eerste vrijgave |