1096751_pixfailover.pdf

Exemple de configuration de basculement actif/veille PIX/ASA

ContenuIntroductionConditions pralablesConditions requisesComposants utilissProduits connexesConventionsBasculement actif/veillePrsentation du basculement actif/veilletat principal/secondaire et tat actif/veilleSynchronisation d'initialisation et de configuration de priphriqueRplication des commandesDclencheurs de basculementOprations de basculementBasculement priodique et dynamiqueBasculement priodiqueBasculement dynamiqueConfiguration de basculement actif/veille base sur les cbles (dispositif de scurit PIX uniquement)Diagramme du rseauConfigurationsConfiguration de basculement actif/veille bas sur le LANDiagramme du rseauConfiguration de l'unit principaleConfiguration de l'unit secondaireConfigurationsVrifiezUtilisation de la commande show failoverAffichage des interfaces surveillesAffichage des commandes de basculement dans la configuration en coursConfiguration des alertes par e-mail relatives au basculement des ASATests sur la fonctionnalit de basculementBasculement forcBasculement dsactivRestauration d'une unit dfaillanteRemplacement d'une unit dfaillante par une nouvelle unitDpannezSurveillance du basculementDfaillance d'une unitConnexion alloue LU dfaillanteL'unit principale a perdu les communications de basculement avec l'autre unit dans l'interface nom_interfaceMessages systme de basculementMessages de dbogageSNMPProblme NAT 0Dlai d'interrogation du basculementExportation du certificat ou de la cl prive dans la configuration de basculementAVERTISSEMENT : chec du dchiffrement du message de basculementBasculement des modules ASAchec de l'allocation du paquet de messages de basculementProblme de basculement du module AIPImpossible de mettre niveau la paire de basculement ASA entre la carte Ethernet et l'interface optiqueERREUR : Le Basculement ne peut pas tre configur tandis que le serveur des gens du pays CA est configur.%ASA-1-104001 : (Secondaire) commutant l'ACTIVE - la carte de service dans l'autre unit a manquProblmes identifisInformations connexes

Introduction

La configuration de basculement requiert deux appliances de scurit identiques connectes entre elles par un lien de basculement ddi etventuellement un lien de basculement dynamique. La sant des interfaces et des units actives est surveille pour dterminer si les conditionsspcifiques de basculement sont remplies. Si ces conditions sont remplies, le basculement se produit.

Le dispositif de scurit supporte deux configurations de basculement : Basculement actif/actif et Basculement actif/veille. Chaque configurationde basculement a sa propre mthode pour dterminer et excuter le basculement. Avec le basculement actif/actif, les deux units peuventacheminer le trafic rseau. Cela vous permet de configurer l'quilibrage de charge sur votre rseau. Le basculement actif/actif est seulementdisponible sur les units qui fonctionnent en mode de contexte multiple. Avec le basculement actif/veille, seule une unit achemine le trafictandis que l'autre unit attend en tat de veille. Le basculement actif/veille est disponible sur les units qui fonctionnent en mode de contexteunique ou multiple. Ces deux configurations de basculement supportent le basculement dynamique et le basculement statique (priodique).

Ce document prsente comment configurer un basculement actif/veille dans un dispositif de scurit PIX.

Remarque: Le basculement de VPN n'est pas support sur les units qui fonctionnent en mode de contexte multiple, car les VPN ne sont passupports dans le contexte multiple. Le basculement de VPN est disponible seulement pour les configurations de basculement actif/veille dansles configurations dans un contexte unique.

Cisco recommande de ne pas utiliser l'interface de gestion pour le basculement, notamment pour le basculement dynamique, o le dispositif descurit envoie constamment les informations de connexion d'un dispositif de scurit l'autre. L'interface utilise pour le basculement doit treau moins de la mme capacit que les interfaces qui acheminent le trafic habituel, et bien que les interfaces de l'ASA 5540 soient Gigabit,l'interface de gestion est FastEthernet seulement. L'interface de gestion est conue pour le trafic de gestion seulement et est spcifie commemanagement0/0. Cependant, vous pouvez employer la commande management-only pour configurer une interface en interface de gestionseulement. En outre, pour Management 0/0, vous pouvez dsactiver le mode gestion seule pour que l'interface puisse acheminer le trafic commetoute autre interface. Pour plus d'informations sur la commande management-only, rfrez-vous au Guide de rfrence des dispositifs descurit Cisco, Version 8.0.

Ce guide de configuration fournit un exemple de configuration pour une brve introduction la technologie actif/veille de PIX/ASA 7.x. Rfrez-vous au Guide de rfrence des commandes ASA/PIX pour mieux comprendre la thorie la base de cette technologie.

Conditions pralablesConditions requises

Configuration matrielle

Les deux units contenues dans une configuration de basculement doivent avoir la mme configuration matrielle. Elles doivent avoir le mmemodle, le mme nombre et le mme type d'interfaces, et la mme quantit de RAM.

Remarque: Les deux units n'ont pas besoin d'avoir la mme taille de mmoire flash. Si vous utilisez des units avec diffrentes tailles demmoire flash dans votre configuration de basculement, assurez-vous que l'unit avec la mmoire flash la plus petite a assez d'espace pourcontenir les fichiers d'image logicielle et les fichiers de configuration. Sinon, la synchronisation de la configuration de l'unit avec la mmoireflash la plus grande et de l'unit avec la mmoire flash la plus petite choue.

Configuration logicielle requise

Les deux units prsentes dans une configuration de basculement doivent tre en mode oprationnel (rout ou transparent, contexte unique oumultiple). Elles doivent avoir la mme version logicielle majeure (premier numro) et mineure (second numro), mais vous pouvez utiliserdiffrentes versions du logiciel dans un processus de mise niveau. Par exemple, vous pouvez mettre niveau une unit de la version 7.0(1) versla version 7.0(2) sans que le basculement ne se dsactive. Nous vous recommandons de mettre niveau les deux units vers la mme versionpour assurer la compatibilit long terme.

Rfrez-vous la section Mises niveau sans indisponibilit pour les paires de basculement du Guide de configuration de la ligne de commanded'un dispositif de scurit Cisco, Version 8,0 pour plus d'informations sur la mise niveau du logiciel sur une paire de basculement.

Exigences de licence

Sur la plate-forme de dispositif de scurit PIX, au moins une des units doit avoir une licence sans restriction (licence UR).

Remarque: Il peut tre ncessaire de mettre niveau les licences sur une paire de basculement afin d'obtenir des fonctionnalits et avantagessupplmentaires. Pour plus d'informations sur la mise niveau, rfrez-vous Mise niveau d'une cl de licence sur une paire de basculement

Remarque: Les fonctionnalits sous licence (par exemple les homologues VPN SSL ou les contextes de scurit) doivent tre identiques sur lesdeux appliances de scurit qui participent au basculement.

Composants utiliss

Les informations de ce document sont bases sur le dispositif de scurit PIX version 7.x et ultrieures.

Les informations contenues dans ce document ont t cres partir des priphriques d'un environnement de laboratoire spcifique. Tous les

priphriques utiliss dans ce document ont dmarr avec une configuration efface (par dfaut). Si votre rseau est oprationnel, assurez-vousque vous comprenez l'effet potentiel de toute commande.

Produits connexes

Cette configuration peut galement tre utilise avec le dispositif de scurit version 7.x et ultrieures.

Conventions

Pour plus d'informations sur les conventions utilises dans ce document, reportez-vous Conventions relatives aux conseils techniques Cisco.

Basculement actif/veilleCette section dcrit le basculement actif/veille et comprend les rubriques suivantes :

Prsentation du basculement actif/veilletat principal/secondaire et tat actif/veilleSynchronisation d'initialisation et de configuration de priphriqueRplication des commandesDclencheurs de basculementOprations de basculement

Prsentation du basculement actif/veille

Le basculement actif/veille permet d'utiliser un dispositif de scurit en veille pour relayer la fonctionnalit d'une unit dfaillante. Quand l'unitactive est dfaillante, elle passe l'tat de veille tandis que l'unit en veille passe l'tat actif. L'unit qui devient active se charge des adressesIP (ou, pour un pare-feu transparent, de l'adresse IP de gestion) et des adresses MAC de l'unit dfaillante et commence acheminer le trafic.L'unit qui est maintenant l'tat de veille se charge des adresses IP et MAC en veille. tant donn que les priphriques rseau ne voient aucunchangement dans le pairage des adresses MAC vers IP, aucune entre ARP ne change ou ne dpasse le dlai sur le rseau.

Remarque: Pour le mode de contexte multiple, le dispositif de scurit peut relayer l'unit entire ( avec tous les contextes) mais non lesdiffrents contextes sparment.

tat principal/secondaire et tat actif/veilleLes diffrences majeures entre les deux units d'une paire de basculement concernent l'identit de l'unit active et celle de l'unit en veille, savoir quelles sont les adresses utiliser et quelle unit est l'unit principale et achemine le trafic activement.

Quelques diffrences existent entre les units selon l'identit de l'unit principale (comme spcifie dans la configuration) et celle de l'unitsecondaire :

L'unit principale devient toujours l'unit active si les deux units dmarrent en mme temps (et ont la mme sant oprationnelle).L'adresse MAC de l'unit principale est toujours couple avec les adresses IP actives. Une exception cette rgle se produit quand l'unitsecondaire est active et ne peut pas obtenir l'adresse MAC principale via le lien de basculement. Dans ce cas, l'adresse MAC secondaireest utilise.

Synchronisation d'initialisation et de configuration de priphrique

La synchronisation de configuration a lieu quand un des priphriques ou les deux de la paire de basculement dmarrent. Les configurations sonttoujours synchronises de l'unit active vers l'unit en veille. Quand l'unit en veille excute son dmarrage initial, elle efface sa configurationen cours (except les commandes de basculement ncessaires pour communiquer avec l'unit active), et l'unit active envoie sa configurationentire l'unit en veille.

L'unit active est dtermine par les lments suivants :

Si une unit dmarre et dtecte un homologue oprant dj l'tat actif, elle devient l'unit en veille.Si une unit dmarre et ne dtecte aucun homologue, elle devient l'unit active.Si les deux units dmarrent simultanment, l'unit principale devient l'unit active, et l'unit secondaire devient l'unit en veille.

Remarque: Si l'unit secondaire dmarre et ne dtecte pas l'unit principale, elle devient l'unit active. Elle utilise ses propres adresses MACpour les adresses IP actives. Quand l'unit principale devient disponible, l'unit secondaire remplace les adresses MAC par celles de l'unitprincipale, ce qui peut entraner une interruption du trafic rseau. Pour viter cela, configurez la paire de basculement avec des adresses MACvirtuelles. Consultez la section Configuration du basculement actif/veille de ce document pour plus d'informations.

Quand la rplication commence, la console de le dispositif de scurit de l'unit active affiche le message Beginning configurationreplication: Sending to mate et, quand la rplication est termine, le dispositif de scurit affiche le message End ConfigurationReplication to mate. Lors d'une rplication, les commandes entres sur l'unit active ne peuvent pas tre rpliques correctement sur l'uniten veille, et les commandes entres sur l'unit en veille ne peuvent pas tre remplaces par la configuration rplique depuis l'unit active.N'entrez pas de commandes sur l'une ou l'autre unit de la paire de basculement durant le processus de rplication de la configuration. Selon la

taille de la configuration, la rplication peut prendre quelques secondes plusieurs minutes.

Sur l'unit secondaire vous pouvez voir le message de rplication (durant la synchronisation) sur l'unit principale :

pix> .

Detected an Active mateBeginning configuration replication from mate.End configuration replication from mate.

pix>

Sur l'unit en veille, la configuration n'existe que dans la mmoire active. Pour enregistrer la configuration dans la mmoire flash aprs lasynchronisation, entrez les commandes suivantes :

Pour le mode de contexte unique, entrez la commande copy running-config startup-config sur l'unit active. La commande est rpliquesur l'unit en veille, laquelle enregistre alors sa configuration dans la mmoire flash.Pour le mode de contexte multiple, entrez la commande copy running-config startup-config sur l'unit active depuis l'espace d'excutiondu systme et partir de chaque contexte figurant sur le disque. La commande est rplique sur l'unit en veille, laquelle enregistre alors saconfiguration dans la mmoire flash. Les contextes avec des configurations de dmarrage sur des serveurs externes sont accessibles partirde l'une ou l'autre unit via le rseau et il n'est pas ncessaire de les enregistrer sparment pour chaque unit. Vous pouvez aussi copierles contextes contenus sur le disque de l'unit d'active sur un serveur externe, puis les copier sur le disque de l'unit en veille, o ilsdeviennent disponibles lorsque l'unit se recharge.

Rplication des commandes

La rplication des commandes va de l'unit active l'unit en veille. Lorsque les commandes sont entres sur l'unit active, elles sont envoyes l'unit en veille via le lien de basculement. Vous n'avez pas enregistrer la configuration active dans la mmoire flash pour rpliquer lescommandes.

Remarque: Les modifications apportes sur l'unit en veille ne sont pas rpliques sur l'unit active. Si vous entrez une commande sur l'unit enveille, le dispositif de scurit affiche le message *** WARNING **** Configuration Replication is NOT performed from Standby unit toActive unit. Les configurations ne sont plus synchronises. Ce message s'affiche mme si vous entrez des commandes qui n'affectent pas laconfiguration.

Si vous entrez la commande write standby sur l'unit active, l'unit en veille efface sa configuration en cours (except les commandes debasculement utilises pour communiquer avec l'unit active), et l'unit active envoie sa configuration entire l'unit en veille.

Pour le mode de contexte multiple, quand vous entrez la commande write standby dans l'espace d'excution du systme, tous les contextes sontrpliqus. Si vous entrez la commande write standby dans un contexte, la commande ne rplique que la configuration du contexte.

Les commandes rpliques sont enregistres dans la configuration en cours. Pour enregistrer les commandes rpliques dans la mmoire flash del'unit en veille, entrez les commandes suivantes :

Pour le mode de contexte unique, entrez la commande copy running-config startup-config sur l'unit active. La commande est rpliquesur l'unit en veille, laquelle enregistre alors sa configuration dans la mmoire flash.Pour le mode de contexte multiple, entrez la commande copy running-config startup-config sur l'unit active depuis l'espace d'excutiondu systme et dans chaque contexte contenu sur le disque. La commande est rplique sur l'unit en veille, laquelle enregistre alors saconfiguration dans la mmoire flash. Les contextes avec des configurations de dmarrage sur des serveurs externes sont accessibles partirde l'une ou l'autre unit via le rseau et il n'est pas ncessaire de les enregistrer sparment pour chaque unit. Vous pouvez aussi copierles contextes contenus sur disque de l'unit active sur un serveur externe, puis les copier sur le disque de l'unit en veille.

Dclencheurs de basculement

L'unit peut avoir une dfaillance si un des vnements suivants se produit :

L'unit a une dfaillance matrielle ou une panne d'alimentation.L'unit a une dfaillance logicielle.Trop d'interfaces surveilles ont une dfaillance.La commande no failover active est entre sur l'unit active ou la commande failover active est entre sur l'unit en veille.

Oprations de basculement

Dans un basculement actif/veille, le basculement s'effectue unit par unit. Mme sur des systmes qui fonctionnent en mode de contextemultiple, vous ne pouvez pas relayer de contextes individuels ou de groupes de contextes.

Ce tableau montre l'opration de basculement pour chaque vnement de dfaillance. Pour chaque vnement de dfaillance, le tableau contientles rgles de basculement (basculement ou aucun basculement), l'opration effectue par l'unit active et des remarques particulires sur l'tat debasculement et les oprations de basculement. Le tableau montre le comportement de basculement.

vnement dedfaillance Stratgie

Opration del'unit active

Opration del'unit en

veilleNotes

L'unit active aeu une dfaillance(matrielle oud'alimentation)

Basculement S/O

S'activeMarquel'unit activecomme

dfaillante

Aucun messagehello n'est reu surune interfacesurveille ou sur lelien debasculement.

L'unitauparavant activereprend

Pas debasculement

Se met enveille

Aucuneopration Aucun

L'unit en veille aeu une dfaillance(matrielle oud'alimentation)

Pas debasculement

Marquel'unit enveille commedfaillante

S/O

Quand l'unit enveille est marquecomme dfaillante,l'unit active netente aucunbasculement, mmesi le seuil dedfaillance del'interface estdpass.

Le lien debasculement a euune dfaillance encours defonctionnement

Pas debasculement

Marquel'interface debasculementcomme

dfaillante


dfaillante

Vous devezrestaurer le lien debasculement dsque possible carl'unit ne peut pasrelayer l'unit enveille alors que lelien de basculementest dfaillant.

Le lien debasculement a euune dfaillance audmarrage

Pas debasculement


dfaillante

S'active

Si le lien debasculement a unedfaillance audmarrage, lesdeux unitsdeviennent actives.

Le lien debasculementdynamique amanqu

Pas debasculement

Aucuneopration

Aucuneopration

Les informationsd'tat sontprimes et lessessions seterminent si unbasculement seproduit.

Dfaillance del'interface surl'unit active au-dessus du seuil

Basculement

Marquel'unit activecomme

dfaillante

S'active Aucun

Dfaillance del'interface surl'unit en veilleau-dessus du seuil

Pas debasculement

Aucuneopration

Marquel'unit enveille commedfaillante

Quand l'unit enveille est marquecomme dfaillante,l'unit active netente aucunbasculement, mmesi le seuil dedfaillance del'interface estdpass.

Basculement priodique et dynamique

Le dispositif de scurit supporte deux types de basculement : priodique et dynamique. Cette section comprend les rubriques suivantes :

Basculement priodiqueBasculement dynamique

Basculement priodique

Quand un basculement se produit, toutes les connexions actives sont supprimes. Les clients doivent rtablir les connexions quand la nouvelleunit active prend le relais.

Basculement dynamique

Quand le basculement dynamique est activ, l'unit active transfre continuellement les informations d'tat par connexion l'unit en veille.Lorsqu'un basculement s'est produit, les mmes informations de connexion sont disponibles sur la nouvelle unit active. Les applicationsutilisateur supportes ne doivent pas ncessairement se reconnecter pour garder la mme session de transmission.

Les informations d'tat transmises l'unit en veille incluent les lments suivants :

La table de conversion NATLes tats des connexions TCPLes tats des connexions UDPLa table ARPLa table des ponts de la couche 2 (quand elle fonctionne en mode pare-feu transparent)Les tats des connexions HTTP (si la rplication HTTP est active)La table SA ISAKMP et IPSecLa base des connexions GTP PDP

Les informations transmises l'unit en veille quand le basculement dynamique est activ incluent les lments suivants :

La table des connexions HTTP (sauf si la rplication HTTP est active)La table des authentifications utilisateur (uauth)Les tables de routageLes informations d'tat relatives aux modules des services de scurit

Remarque: Si le basculement se produit durant une session Cisco IP SoftPhone active, l'appel demeure actif car les informations d'tat de lasession d'appel sont rpliques sur l'unit en veille. Quand l'appel est termin, le client IP SoftPhone perd la connexion avec le gestionnaired'appels. Cela se produit car il n'ya aucune information de session pour le message de raccrochage CTIQBE sur l'unit en veille. Quand le clientIP SoftPhone ne reoit pas de rponse du gestionnaire d'appels dans un certain dlai, il considre le gestionnaire d'appels comme inaccessible etannule sont enregistrement.

Configuration de basculement actif/veille base sur les cbles (dispositif de scurit PIXuniquement)Diagramme du rseau

Ce document utilise la configuration rseau suivante :

Remarque: Le basculement bas sur les cbles est disponible seulement sur le dispositif de scurit de la gamme PIX 500.

Cette section vous fournit des informations pour configurer les fonctionnalits dcrites dans ce document.

Suivez ces tapes pour configurer le basculement actif/veille avec un cble srie comme lien de basculement. Les commandes utilises dans cettetche sont entres sur l'unit principale de la paire de basculement. L'unit principale est l'unit qui a l'extrmit de cble marque Primary branche sur elle. Pour les priphriques en mode de contexte multiple, les commandes sont entres dans l'espace d'excution du systme, saufindication contraire.

Vous n'avez pas besoin d'amorcer l'unit secondaire de la paire de basculement quand vous utilisez le basculement bas sur les cbles. Laissezl'unit secondaire hors tension jusqu' l'affichage de l'invite de mise sous tension.

Suivez ces tapes pour configurer le basculement actif/veille bas sur les cbles :

Connectez le cble de basculement aux dispositifs de scurit PIX. Veillez brancher l'extrmit du cble marque Primary l'unitque vous utilisez comme unit principale et celle marque Secondary l'autre unit.

1.

Mettez sous tension l'unit principale.2.

Si vous ne l'avez pas dj fait, configurez les adresses IP actives et en standby pour chaque interface de donnes (mode rout) ou pourl'interface de gestion (mode transparent). L'adresse IP en standby est utilise sur le dispositif de scurit qui est l'unit en veille en cours.Elle doit se trouver sur le mme sous-rseau que l'adresse IP active.

3.

Remarque: Ne configurez pas d'adresse IP pour le lien de basculement dynamique si vous utilisez une interface de basculementdynamique ddie. La commande failover interface ip s'utilise pour configurer une interface de basculement dynamique ddie dans unetape ultrieure.

hostname(config-if)#ip address standby

Dans cet exemple, l'interface externe de l'unit PIX principale est configure de la faon suivante :

hostname(config-if)#ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2

Ici, 172.16.1.1 est utilis pour l'adresse IP de l'interface externe de l'unit principale, et 172.16.1.2 est utilis pour l'interface externe de

l'unit secondaire (en veille).

Remarque: En mode de contexte multiple, vous devez configurer les adresses d'interface depuis chaque contexte. Utilisez la commandechangeto context pour passer d'un contexte l'autre. L'invite de commande devient hostname/context(config-if)#, o context est le nomdu contexte actif.

Pour activer le basculement dynamique, configurez le lien de basculement dynamique.4.

Spcifiez l'interface utiliser comme lien de basculement dynamiquea.

hostname(config)#failover link if_name phy_if

Dans cet exemple, l'interface Ethernet2 est utilise pour changer les informations d'tat du lien de basculement dynamique.

hostname(config)#failover link state Ethernet2

L'argument nameif affecte un nom logique l'interface spcifie par l'argument phy_if. L'argument phy_if peut tre le nom du portphysique, par exemple Ethernet1, ou une sous-interface cre prcdemment, par exemple Ethernet0/2.3. Cette interface ne doit pastre utilise pour un autre objectif.

Assignez une adresse IP active et de rserve au lien de basculement dynamique :b.

hostname(config)#failover interface ip standby

Dans cet exemple, 10.0.0.1 est utilis comme adresse IP active, et 10.0.0.2 est utilis comme adresse IP en standby pour le lien debasculement dynamique.

hostname(config)#failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2

Remarque: Si le lien de basculement dynamique utilise une interface de donnes, ignorez cette tape. Vous avez dj dfinil'adresse IP active et l'adresse IP en standby pour l'interface.

L'adresse IP de secours doit tre dans le mme sous-rseau que l'adresse IP active. Vous n'avez pas besoin d'identifier le masque desous-rseau de l'adresse IP en standby.

L'adresse IP et l'adresse MAC du lien de basculement dynamique ne changent pas lors du basculement, sauf si elles utilisent uneinterface de donnes. L'adresse IP active reste toujours avec l'unit principale, tandis que l'adresse en standby reste avec l'unitsecondaire.

Activez l'interface :c.

hostname(config)#interface phy_if

hostname(config-if)#no shutdown

Activez le basculement :5.

hostname(config)#failover

Mettez sous tension l'unit secondaire et activez le basculement sur l'unit si elle n'est pas dj active :6.


L'unit active envoie la configuration figurant dans la mmoire en cours l'unit en veille. Lors de la synchronisation de la configuration,les messages Beginning configuration replication: l'envoi accoupler et rplication de configuration finale accoupler apparaissentsur la console primaire.

Remarque: Commencez par excutez la commande failover sur le priphrique principal puis excutez-la sur le priphrique secondaire.Une fois la commande failover excute sur le priphrique secondaire, le priphrique secondaire extrait immdiatement la configurationdu priphrique principal et se met en veille. Le priphrique ASA principal demeure oprationnel, achemine le trafic normalement et semarque comme tant le priphrique actif. partir de l, chaque fois qu'une dfaillance se produit sur le priphrique actif, le priphriqueen veille s'active.

Sauvegardez la configuration la mmoire flash sur l'unit primaire. tant donn que les commandes entres sur l'unit principale sontrpliques sur l'unit secondaire, l'unit secondaire enregistre aussi sa configuration dans la mmoire flash.

7.

hostname(config)#copy running-config startup-config

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrs seulement) pour obtenir plus d'informations sur les commandesutilises dans cette section.

Configurations

Ce document utilise les configurations suivantes :

PIXpix#show running-configPIX Version 7.2(1)!hostname pixdomain-name default.domain.invalidenable password 2KFQnbNIdI.2KYOU encryptednames

!interface Ethernet0nameif outsidesecurity-level 0ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2!interface Ethernet1nameif insidesecurity-level 100ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2!

!--- Configure "no shutdown" in the stateful failover interface!--- of both Primary and secondary PIX.

interface Ethernet2description STATE Failover Interface!interface Ethernet3shutdownno nameifno security-levelno ip address!interface Ethernet4shutdownno nameifno security-levelno ip address!interface Ethernet5shutdownno nameifno security-levelno ip address!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passivedns server-group DefaultDNSdomain-name default.domain.invalidaccess-list 101 extended permit ip any anypager lines 24mtu outside 1500mtu inside 1500failoverfailover link state Ethernet2failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2asdm image flash:/asdm-521.binno asdm history enablearp timeout 14400nat (inside) 0 access-list 101access-group 101 in interface outsideroute outside 0.0.0.0 0.0.0.0 172.16.1.3 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02!

!--- Output Suppressed

!service-policy global_policy globalprompt hostname contextCryptochecksum:d41d8cd98f00b204e9800998ecf8427e: end

Configuration de basculement actif/veille bas sur le LANDiagramme du rseau

Ce document utilise la configuration rseau suivante :

Cette section dcrit comment configurer le basculement actif/veille avec un lien de basculement Ethernet. Quand vous configurez le basculementbas sur le LAN, vous devez amorcer le priphrique secondaire pour identifier le lien de basculement afin que le priphrique secondaire puisseobtenir la configuration en cours du priphrique principal.

Remarque: Au lieu d'utiliser un cble Ethernet crois pour relier directement les units, Cisco recommande d'utiliser un commutateur ddientre l'unit principale et l'unit secondaire.

Configuration de l'unit principale

Suivez ces tapes pour configurer l'unit principale dans une configuration de basculement actif/veille bas sur le LAN. Les tapes ci-dessouspermettent d'obtenir la configuration minimale requise pour activer le basculement sur l'unit principale. Pour le mode de contexte multiple,toutes les tapes sont excutes dans l'espace d'excution du systme, sauf indication contraire.

Pour configurer l'unit principale dans une paire de basculement actif/veille, procdez comme suit :

Si vous ne l'avez pas dj fait, configurez les adresses IP actives et en standby pour chaque interface (mode rout) ou pour l'interface degestion (mode transparent). L'adresse IP en standby est utilise sur le dispositif de scurit qui est l'unit en veille en cours. Elle doit setrouver sur le mme sous-rseau que l'adresse IP active.

1.

Remarque: Ne configurez pas d'adresse IP pour le lien de basculement dynamique si vous utilisez une interface de basculementdynamique ddie. La commande failover interface ip s'utilise pour configurer une interface de basculement dynamique ddie dans unetape ultrieure.

hostname(config-if)#ip address active_addr netmask standby standby_addr

Dans cet exemple, l'interface externe du priphrique principal PIX est configure de la faon suivante :

hostname(config-if)#ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2

Ici, 172.16.1.1 est utilis pour l'adresse IP de l'interface externe de l'unit principale, et 172.16.1.2 est utilis pour l'interface externe del'unit secondaire (en veille).

Remarque: En mode de contexte multiple, vous devez configurer les adresses d'interface depuis chaque contexte. Utilisez la commandechangeto context pour passer d'un contexte l'autre. L'invite de commande devient hostname/context(config-if)#, o context est le nomdu contexte actif.

(Pour la plate-forme de dispositif de scurit PIX uniquement) Activez le basculement bas sur le LAN.2.

hostname(config)#failover lan enable

Dsignez l'unit comme l'unit principale.3.

hostname(config)#failover lan unit primary

Dfinissez l'interface de basculement.4.

Spcifiez l'interface utiliser comme interface de basculement.a.

hostname(config)#failover lan interface if_name phy_if

Dans cette documentation, failover (nom de l'interface pour Ethernet3) est utilis pour une interface de basculement.

hostname(config)#failover lan interface failover Ethernet3

L'argument if_name affecte un nom l'interface spcifie par l'argument phy_if. L'argument phy_if peut tre le nom du portphysique, par exemple Ethernet1, ou une sous-interface cre prcdemment, par exemple Ethernet0/2.3.

Affectez l'adresse active et l'adresse en standby au lien de basculement.b.

hostname(config)#failover interface ip if_name ip_addr mask standby ip_addr

Dans cette documentation, pour configurer le lien de basculement, 10.1.0.1 est utilis pour l'unit active, 10.1.0.2 pour l'unit enveille, et failover est le nom d'une interface Ethernet3.

hostname(config)#failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2

L'adresse IP de secours doit tre dans le mme sous-rseau que l'adresse IP active. Vous n'avez pas besoin d'identifier le masque desous-rseau de l'adresse en standby.

L'adresse IP et l'adresse MAC du lien de basculement ne changent pas lors du basculement. L'adresse IP active du lien debasculement accompagne toujours l'unit principale, tandis que l'adresse IP en standby accompagne l'unit secondaire.

Activez l'interfacec.



Dans l'exemple, Ethernet3 est utilis pour le basculement :

hostname(config)#interface ethernet3


(Facultatif) Pour activer le basculement dynamique, configurez le lien de basculement dynamique.5.

Spcifiez l'interface utiliser comme lien de basculement dynamiquea.

hostname(config)#failover link if_name phy_if

Cet exemple a utilis state comme nom d'interface pour Ethernet2 pour changer les informations d'tat du lien de basculement :

hostname(config)#failover link state Ethernet2

Remarque: Si le lien de basculement dynamique utilise le lien de basculement ou une interface de donnes, vous devez seulementfournir l'argument if_name .

L'argument if_name affecte un nom logique l'interface spcifie par l'argument phy_if . L'argument phy_if peut tre le nom duport physique, par exemple Ethernet1, ou une sous-interface cre prcdemment, par exemple Ethernet0/2.3. Cette interface ne doitpas tre utilise dans un autre but, sauf ventuellement comme lien de basculement.

Assignez une adresse IP active et de rserve au lien de basculement dynamique.b.

Remarque: Si le lien de basculement dynamique utilise le lien de basculement ou une interface de donnes, ignorez cette tape.Vous avez dj dfini l'adresse IP active et l'adresse IP en standby pour l'interface.


Dans cet exemple, 10.0.0.1 est utilis comme adresse IP active et 10.0.0.2 est utilis comme adresse IP en standby pour le lien debasculement dynamique.

hostname(config)#failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2

L'adresse IP de secours doit tre dans le mme sous-rseau que l'adresse IP active. Vous n'avez pas besoin d'identifier le masque desous-rseau de l'adresse en standby.

L'adresse IP et l'adresse MAC du lien de basculement dynamique ne changent pas lors du basculement, sauf si elles utilisent uneinterface de donnes. L'adresse IP active reste toujours avec l'unit principale, tandis que l'adresse en standby reste avec l'unitsecondaire.

Activez l'interface.c.

Remarque: Si le lien de basculement dynamique utilise le lien de basculement ou une interface de donnes, ignorez cette tape.Vous avez dj activ l'interface.



Remarque: Par exemple, dans ce scnario, Ethernet2 est utilis pour le lien de basculement dynamique :



Activez le basculement.6.


Remarque: Commencez par excutez la commande failover sur le priphrique principal puis excutez-la sur le priphrique secondaire.Une fois la commande failover excute sur le priphrique secondaire, le priphrique secondaire extrait immdiatement la configurationdu priphrique principal et se met en veille. Le priphrique ASA principal demeure oprationnel, achemine le trafic normalement et semarque comme tant le priphrique actif. partir de l, chaque fois qu'une dfaillance se produit sur le priphrique actif, le priphriqueen veille s'active.

Enregistrez la configuration systme dans la mmoire flash.7.


Configuration de l'unit secondaire

La seule configuration requise sur l'unit secondaire concerne l'interface de basculement. L'unit secondaire ncessite ces commandes pourcommuniquer au dpart avec l'unit principale. Une fois que l'unit principale a envoy sa configuration l'unit secondaire, la seule diffrencepermanente entre les deux configurations est la commande failover lan unit , qui identifie chaque unit comme principale ou secondaire.

Pour le mode de contexte multiple, toutes les tapes sont excutes dans l'espace d'excution du systme, sauf indication contraire.

Pour configurer l'unit secondaire, procdez comme suit :

(Pour la plate-forme de dispositif de scurit PIX uniquement) Activez le basculement bas sur le LAN.1.

hostname(config)#failover lan enable

Dfinissez l'interface de basculement. Utilisez les paramtres que vous avez utiliss pour l'unit principale.2.

Spcifiez l'interface utiliser comme interface de basculement.a.

hostname(config)#failover lan interface if_name phy_if

Dans cette documentation, failover (nom de l'interface pour Ethernet3) est utilis pour une interface de basculement LAN.

hostname(config)#failover lan interface failover Ethernet3

L'argument if_name affecte un nom l'interface spcifie par l'argument phy_if.

Affectez l'adresse active et l'adresse en standby au lien de basculement.b.


Dans cette documentation, pour configurer le lien de basculement, 10.1.0.1 est utilis pour l'unit active, 10.1.0.2 pour l'unit enveille, et failover est le nom d'une interface Ethernet3.

hostname(config)#failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2

Remarque: Entrez cette commande exactement comme vous l'avez entre dans l'unit principale lorsque vous avez configurl'interface de basculement sur l'unit principale.

Activez l'interface.c.



Par exemple, dans ce scnario, Ethernet3 est utilis pour le basculement.



(Facultatif) dsignez cette unit comme l'unit secondaire.3.

hostname(config)#failover lan unit secondary

Remarque: Cette tape est facultative car, par dfaut, les units sont dsignes comme secondaires, sauf si elles ont t configuresprcdemment.

Activez le basculement.4.


Remarque: Une fois le basculement activ, l'unit active envoie la configuration figurant dans la mmoire en cours l'unit en veille.Lors de la synchronisation de la configuration, les messages Beginning configuration replication: Sending to mate et End ConfigurationReplication to mate apparaissent sur la console de l'unit active.

Un fois que la configuration en cours a termin la rplication, enregistrez la configuration dans la mmoire flash.5.


Configurations

Ce document utilise les configurations suivantes :

Priphrique PIX principalpix#show running-configPIX Version 7.2(1)!hostname pixdomain-name default.domain.invalidenable password 2KFQnbNIdI.2KYOU encryptednames

!interface Ethernet0nameif outsidesecurity-level 0ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2!interface Ethernet1nameif insidesecurity-level 100ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2!

!--- Configure "no shutdown" in the stateful failover interface!--- of both Primary and secondary PIX.

interface Ethernet2nameif state

description STATE Failover Interface

interface ethernet3nameif failover

description LAN Failover Interface

!interface Ethernet4shutdownno nameifno security-levelno ip address!interface Ethernet5shutdownno nameifno security-levelno ip address!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passivedns server-group DefaultDNSdomain-name default.domain.invalidaccess-list 101 extended permit ip any anypager lines 24mtu outside 1500mtu inside 1500

failoverfailover lan unit primaryfailover lan interface failover Ethernet3failover lan enablefailover key ******failover link state Ethernet2failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2

asdm image flash:/asdm-521.bin

no asdm history enablearp timeout 14400nat (inside) 0 access-list 101access-group 101 in interface outsideroute outside 0.0.0.0 0.0.0.0 172.16.1.3 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstarttelnet timeout 5ssh timeout 5console timeout 0!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns preset_dns_mapparameters message-length maximum 512policy-map global_policyclass inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp!service-policy global_policy globalprompt hostname contextCryptochecksum:d41d8cd98f00b204e9800998ecf8427e: end

Priphrique PIX secondairepix#show running-config

failoverfailover lan unit secondaryfailover lan interface failover Ethernet3failover lan enablefailover key ******failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2

VrifiezUtilisation de la commande show failover

Cette section dcrit la sortie de la commande show failover . Sur chaque unit, vous pouvez vrifier l'tat de basculement avec la commandeshow failover .

Priphrique PIX principal

pix#show failoverFailover OnCable status: NormalFailover unit PrimaryFailover LAN Interface: N/A - Serial-based failover enabledUnit Poll frequency 15 seconds, holdtime 45 secondsInterface Poll frequency 5 seconds, holdtime 25 secondsInterface Policy 1Monitored Interfaces 2 of 250 maximumVersion: Ours 7.2(1), Mate 7.2(1)Last Failover at: 06:07:44 UTC Dec 26 2006 This host: Primary - Active

Active time: 1905 (sec) Interface outside (172.16.1.1): Normal Interface inside (192.168.1.1): Normal Other host: Secondary - Standby Ready Active time: 0 (sec) Interface outside (172.16.1.2): Normal Interface inside (192.168.1.2): Normal

Stateful Failover Logical Update Statistics Link : state Ethernet2 (down) Stateful Obj xmit xerr rcv rerr General 0 0 0 0 sys cmd 0 0 0 0 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 0 0 0 0 Xlate_Timeout 0 0 0 0 VPN IKE upd 0 0 0 0 VPN IPSEC upd 0 0 0 0 VPN CTCP upd 0 0 0 0 VPN SDI upd 0 0 0 0 VPN DHCP upd 0 0 0 0

Logical Update Queue Information Cur Max Total Recv Q: 0 0 0 Xmit Q: 0 0 0

Priphrique PIX secondaire

pix(config)#show failoverFailover OnCable status: NormalFailover unit SecondaryFailover LAN Interface: N/A - Serial-based failover enabledUnit Poll frequency 15 seconds, holdtime 45 secondsInterface Poll frequency 5 seconds, holdtime 25 secondsInterface Policy 1Monitored Interfaces 2 of 250 maximumVersion: Ours 7.2(1), Mate 7.2(1)Last Failover at: 00:00:18 UTC Jan 1 1993 This host: Secondary - Standby Ready Active time: 0 (sec) Interface outside (172.16.1.2): Normal Interface inside (192.168.1.2): Normal Other host: Primary - Active Active time: 154185 (sec) Interface outside (172.16.1.1): Normal Interface inside (192.168.1.1): Normal

Stateful Failover Logical Update Statistics Link : state Ethernet2 (down) Stateful Obj xmit xerr rcv rerr General 0 0 0 0 sys cmd 0 0 0 0 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 0 0 0 0 Xlate_Timeout 0 0 0 0 VPN IKE upd 0 0 0 0 VPN IPSEC upd 0 0 0 0 VPN CTCP upd 0 0 0 0 VPN SDI upd 0 0 0 0 VPN DHCP upd 0 0 0 0

Logical Update Queue Information Cur Max Total Recv Q: 0 0 0 Xmit Q: 0 0 0

Utilisez la commande show failover state pour vrifier l'tat.


pix#show failover state====My State===

Primary | Active |====Other State===Secondary | Standby |====Configuration State=== Sync Done====Communication State=== Mac set=========Failed Reason==============My Fail Reason:Other Fail Reason: Comm Failure

Unit secondaire

pix#show failover state====My State===Secondary | Standby |====Other State===Primary | Active |====Configuration State=== Sync Done - STANDBY====Communication State=== Mac set=========Failed Reason==============My Fail Reason:Other Fail Reason:

Pour vrifier les adresses IP de l'unit de basculement, utilisez show failover interfacecommand.

Unit principale

pix#show failover interface interface state Ethernet2 System IP Address: 10.0.0.1 255.0.0.0 My IP Address : 10.0.0.1 Other IP Address : 10.0.0.2

Unit secondaire

pix#show failover interface interface state Ethernet2 System IP Address: 10.0.0.1 255.0.0.0 My IP Address : 10.0.0.2 Other IP Address : 10.0.0.1

Affichage des interfaces surveilles

Pour afficher l'tat des interfaces surveilles : En mode de contexte unique, entrez la commande show monitor-interface en mode deconfiguration globale. En mode de contexte multiple, entrez la commande show monitor-interface dans un contexte.

Remarque: Pour activer la surveillance de la sant sur une interface spcifique, utilisez la commande monitor-interface en mode deconfiguration globale :

monitor-interface


pix(config)#show monitor-interface This host: Primary - Active Interface outside (172.16.1.1): Normal Interface inside (192.168.1.1): Normal Other host: Secondary - Standby Ready Interface outside (172.16.1.2): Normal Interface inside (192.168.1.2): Normal

Priphrique PIX secondaire

pix(config)#show monitor-interface This host: Secondary - Standby Ready Interface outside (172.16.1.2): Normal Interface inside (192.168.1.2): Normal Other host: Primary - Active

Interface outside (172.16.1.1): Normal Interface inside (192.168.1.1): Normal

Remarque: Si vous n'entrez pas d'adresse IP de basculement, la commande show failover affiche 0.0.0.0 pour l'adresse IP et la surveillance del'interface reste l'tat en attente. Rfrez-vous la section show failover section Rfrence de commandes des dispositifs de scurit Cisco,version 7.2 pour plus d'informations sur les diffrents tats de basculement.

Remarque: Par dfaut, la surveillance des interfaces physiques est active et la surveillance des sous-interfaces est dsactive.

Affichage des commandes de basculement dans la configuration en cours

Pour afficher les commandes de basculement dans la configuration en cours, entrez la commande suivante :

hostname(config)#show running-config failover

Toutes les commandes de basculement sont affiches. Sur les units qui fonctionnent en mode de contexte multiple, entrez la commande showrunning-config failover dans l'espace d'excution du systme. Entrez la commande show running-config all failover pour afficher lescommandes de basculement dans la configuration en cours et pour inclure les commandes dont vous n'avez pas chang la valeur par dfaut.

Configuration des alertes par e-mail relatives au basculement des ASA

Suivez ces tapes pour configurer l'alerte par e-mail pour le basculement :

hostname(config)# mail-consignation haute-priorit1.hostname(config)# adresse-expditeur-consignation [email protected](config)# adresse-destinataire-consignation [email protected](config)# serveur-smtp X.X.X.X4.

Pour une description dtaille de ces commandes, rfrez-vous Envoi de messages Syslog une adresse email.

Tests sur la fonctionnalit de basculement

Pour tester la fonctionnalit de basculement, procdez comme suit :

Testez que votre unit active ou votre groupe de basculement achemine le trafic comme prvu avec FTP (par exemple) pour envoyer unfichier d'un hte l'autre sur diffrentes interfaces.

1.

Forcez un basculement vers l'unit en veille avec la commande suivante :2.

Pour le basculement actif/veille, entrez la commande suivante sur l'unit active :

hostname(config)#no failover activeUtilisez FTP pour transmettre un autre fichier entre les deux mmes htes.3.Si le test a chou, entrez la commande show failover pour vrifier l'tat de basculement.4.Lorsque vous avez fini, vous pouvez restaurer l'unit ou le groupe de basculement dans son tat actif avec la commande :5.

Pour le basculement actif/veille, entrez la commande suivante sur l'unit active :

hostname(config)#failover active

Basculement forc

Pour forcer l'unit en veille s'activer, entrez l'une des commandes suivantes :

Entrez la commande suivante sur l'unit en veille :

hostname#failover active

Entrez la commande suivante sur l'unit active :

hostname#no failover active

Basculement dsactiv

Pour dsactiver le basculement, entrez la commande suivante :

hostname(config)#no failover

Si vous dsactivez le basculement sur une paire actif/veille, l'tat actif et en veille de chaque unit est conserv jusqu' ce que vous redmarriez.Par exemple, l'unit en veille reste en mode de veille, et donc les deux units ne commencent pas acheminer le trafic. Pour activer l'unit enveille (mme avec le basculement dsactiv), rfrez-vous la section Basculement forc.

Si vous dsactivez le basculement sur une paire actif/actif, les groupes de basculement restent l'tat actif sur l'unit sur laquelle ils sontactuellement actifs, quelle que soit l'unit qu'ils doivent prfrer selon leur configuration. La commande No failover peut tre entre dansl'espace d'excution du systme.

Restauration d'une unit dfaillante

Pour remettre une unit dfaillante dans un tat non dfaillant, entrez la commande suivante :

hostname(config)#failover reset

Si vous remettez une unit dfaillante dans un tat non dfaillant, elle ne s'active pas automatiquement. Les units ou groupes restaursdemeurent en tat de veille jusqu' ce que le basculement (forc ou naturel) les active. Cela ne concerne pas un groupe de basculement configuravec la commande preempt. Un groupe de basculement auparavant actif s'active s'il est configur avec la commande preempt et si l'unit surlaquelle il a eu une dfaillance est son unit prfre.

Remplacement d'une unit dfaillante par une nouvelle unit

Suivez ces tapes pour remplacer une unit dfaillante par une nouvelle unit :

Excutez la commande no failover sur l'unit principale.1.

L'tat de l'unit secondaire indique standby unit as not detected.Dbranchez l'unit principale et connectez l'unit principale de rechange.2.Vrifiez que l'unit de rechange excute le mme logiciel et la mme version ASDM version que l'unit secondaire.3.Excutez les commandes suivantes sur l'unit de rechange :4.

ASA(config)#failover lan unit primaryASA(config)#failover lan interface failover Ethernet3ASA(config)#failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2ASA(config)#interface Ethernet3ASA(config-if)#no shutASA(config-if)#exit

Branchez l'unit principale de rechange au rseau et excutez la commande suivante :5.

ASA(config)#failover

DpannezQuand un basculement se produit, les deux dispositifs de scurit envoient des messages systme. Cette section comprend les rubriquessuivantes :

Surveillance du basculementDfaillance d'une unit%ASA-3-210005 : Connexion alloue LU dfaillante%PIX|ASA-1-105005 : ((L'unit principale) a perdu les communications de basculement avec l'autre unit dans l'interface nom_interfaceMessages systme de basculementMessages de dbogageSNMPProblme NAT 0ERREUR : Le Basculement ne peut pas tre configur tandis que le serveur des gens du pays CA est configur.Problmes identifis

Surveillance du basculement

Cet exemple montre ce qui se produit quand le basculement n'a pas commenc surveiller les interfaces rseau. La fonctionnalit debasculement ne commence pas surveiller les interfaces rseau avant qu'elle n'ait entendu le second paquet hello venant de l'autre unit surcette interface. Cela prend environ 30 secondes. Si l'unit est branche un commutateur rseau qui excute Spanning Tree Protocol (STP), celaprend deux fois le dlai de transmission configur dans le commutateur (habituellement paramtr 15 secondes), plus ce dlai de30 secondes. Cela provient du fait que, au dmarrage de PIX et juste aprs un vnement de basculement, le commutateur rseau dtecte uneboucle de pontage provisoire. Lorsqu'il dtecte cette boucle, il arrte de transmettre les paquets sur ces interfaces pendant le dlai detransmission . Il passe alors en mode coute pendant un dlai de transmission supplmentaire durant lequel le commutateur coute lesboucles de pontage mais ne transmet pas le trafic (ou transmet des paquets hello de basculement). Aprs deux fois le dlai de transmission

(30 secondes) le flux de trafic reprend. Chaque unit PIX reste en mode attente jusqu' ce qu'elle entende des paquets hello dans un dlaide 30 secondes venant de l'autre unit. Pendant que l'unit PIX transmet le trafic, l'autre unit n'est pas marque dfaillante parce qu'ellen'entend pas les paquets hello . La surveillance se continue sur tous les autres lments surveiller (c'est--dire l'alimentation, la perte deliaison avec l'interface et le cble de basculement hello ).

Pour le basculement Cisco recommande que les clients activent la fonctionnalit portfast sur tous les ports de commutateur connects auxinterfaces PIX. En outre, le channeling et le trunking doivent tre dsactivs sur ces ports. Si l'interface PIX a une dfaillance au cours dubasculement, le commutateur n'a pas attendre 30 secondes lorsque le port passe de l'tat listening l'tat learning puis l'tat forwarding.

Failover OnCable status: NormalReconnect timeout 0:00:00 This host: Primary - Active Active time: 6930 (sec) Interface 0 (192.168.89.1): Normal (Waiting) Interface 1 (192.168.89.1): Normal (Waiting) Other host: Secondary - Standby Active time: 15 (sec) Interface 0 (192.168.89.2): Normal (Waiting) Interface 1 (192.168.89.2): Normal (Waiting)

En rsum, procdez comme suit pour limiter les problmes de basculement :

Contrlez les cbles rseau connects aux interfaces qui sont l'tat en attente/dfaillant et remplacez-les si possible.Si un commutateur est connect entre les deux units, vrifiez que les rseaux connects l'interface qui sont l'tat en attente/dfaillantfonctionnent correctement.Contrlez le port de commutateur connect l'interface qui est l'tat en attente/dfaillant et, si possible, utilisez l'autre port FE ducommutateur.Vrifiez que vous avez activ portfast et dsactiv le trunking et le channeling sur les ports de commutateur connects l'interface.

Dfaillance d'une unit

Dans cet exemple, un basculement a dtect une dfaillance. Notez que l'interface 1 de l'unit principale est l'origine de la dfaillance. Lesunits retournent en mode waiting cause de la dfaillance. L'unit dfaillante s'est retire du rseau (les interfaces sont en panne) etn'envoie plus de paquets hello sur le rseau. L'unit active demeure l'tat waiting jusqu' ce que l'unit dfaillante soit remplace etque les communications de basculement redmarrent.

Failover OnCable status: NormalReconnect timeout 0:00:00 This host: Primary - Standby (Failed) Active time: 7140 (sec) Interface 0 (192.168.89.2): Normal (Waiting) Interface 1 (192.168.89.2): Failed (Waiting) Other host: Secondary - Active Active time: 30 (sec) Interface 0 (192.168.89.1): Normal (Waiting) Interface 1 (192.168.89.1): Normal (Waiting)

Connexion alloue LU dfaillante

Un problme de mmoire peut exister si vous recevez le message d'erreur suivant :

Connexion alloue LU dfaillante

Pour rsoudre ce problme, mettez niveau le logiciel PIX/ASA. Rfrez-vous au pour en savoir plus de l'ID de bogue Cisco CSCte80027(clients enregistrs seulement).

L'unit principale a perdu les communications de basculement avec l'autre unit dans l'interface nom_interface

Ce message de basculement s'affiche si l'unit de la paire de basculement ne peut plus communiquer avec l'autre unit de la paire. Principal peutaussi tre rpertori comme Secondaire pour l'unit secondaire.

((L'unit principale) a perdu les communications de basculement avec l'autre unit dans l'interface nom_interface

Vrifiez que le rseau connect l'interface spcifie fonctionne correctement.

Messages systme de basculement

Le dispositif de scurit met un certain nombre de messages systme relatifs au basculement au niveau de priorit 2, ce qui indique un tatcritique. Pour afficher ces messages, rfrez-vous Configuration de journalisation et messages du journal systme des dispositifs de scurit

Cisco pour activer la journalisation et consulter les descriptions des messages systme.

Remarque: Durant la commutation, la fonctionnalit de basculement s'arrte logiquement, puis active des interfaces qui gnrent des messagessyslog 411001 et 411002. Cette activit est normale.

Messages de dbogage

Pour consulter les messages de dbogage, entrez la commande debug fover. Rfrez-vous Rfrence de commandes des dispositifs de scuritCisco version 7.2 pour plus d'informations.

Remarque: tant donn qu'une forte priorit est attribue la sortie de dbogage dans le processus CPU, celle-ci peut fortement affecter lesperformances. Par consquent, n'utilisez les commandes debug fover que pour rsoudre des problmes spcifiques ou dans des sessions dedpannage avec le personnel d'assistance technique Cisco.

SNMP

Pour recevoir les interruptions SNMP syslog relatives au basculement, configurez les agents SNMP pour qu'ils envoient des interruptions SNMPaux stations de gestion SNMP, dfinissez un hte syslog et compilez la MIB syslog Cisco sur votre station de gestion SNMP. Rfrez-vous auxcommandes snmp-server et logging dans le Guide de rfrence des commandes des dispositifs de scurit Cisco pour plus d'informations.

Problme NAT 0

Quand le dispositif de scurit Cisco est mis hors tension puis sous tension, la commande NAT 0 disparat de la configuration en cours. Ceproblme se produit mme aprs l'enregistrement de la configuration. Les autres commandes sont enregistres, mais la commande nat 0 n'est pasenregistre.

Ce problme est d l'ID de bogue Cisco CSCsk18083 (clients inscrits seulement). Pour rsoudre ce problme, ne dfinissez pas les listesd'accs non valides avec nat exemption. Utilisez les entres ace ip permit ou deny.

Dlai d'interrogation du basculement

Pour spcifier les dlais d'interrogation et de mise en suspens des units de basculement, utilisez la commande failover polltime dans le mode deconfiguration globale.

failover polltime unit msec [time] reprsente le dlai allou pour vrifier l'existence de l'unit en veille avec les messages d'interrogation hello.

De mme, failover holdtime unit msec [time] reprsente l'intervalle dfini durant lequel une unit doit recevoir un message hello sur le lien debasculement et aprs lequel l'autre unit est dclare dfaillante.

Pour spcifier les dlais d'interrogation et de mise en suspens de l'interface de donnes dans une configuration actif/veille, utilisez la commandefailover polltime interface en mode de configuration globale. Pour restaurer les dlais d'interrogation et de mise en suspens par dfaut, utilisezla forme no de cette commande.

failover polltime interface [msec] time [holdtime time]

Utilisez la commande failover polltime interface pour changer la frquence d'envoi des paquets hello aux interfaces de donnes. Cettecommande est disponible uniquement pour le basculement actif/veille. Pour le basculement actif/actif, utilisez la commande polltime interfacedans le mode de configuration du groupe de basculement au lieu de la commande failover polltime interface.

Vous ne pouvez pas entrer de valeur de mise en suspens infrieure 5 fois le dlai d'interrogation de l'interface. Avec un dlai d'interrogationinfrieur, le dispositif de scurit peut dtecter une dfaillance et dclencher un basculement plus rapidement. Cependant, une dtection plusrapide peut entraner des commutations inutiles lorsque le rseau est temporairement encombr. Le test de l'interface commence quand un paquethello n'est pas entendu sur l'interface pendant plus de la moiti du temps de mise en suspens.

Vous pouvez inclure la fois la commande failover polltime unit et la commande failover polltime interface dans la configuration.

Dans cet exemple, la frquence d'interrogation de l'interface est dfinie 500 millisecondes et dlai de mise en suspens 5 secondes :

hostname(config)#failover polltime interface msec 500 holdtime 5

Rfrez-vous la section failover polltime de Rfrence de commandes des dispositifs de scurit Cisco, version 7.2 pour plus d'informations.

Exportation du certificat ou de la cl prive dans la configuration de basculement

Le priphrique principal rplique automatiquement la cl prive/le certificat sur l'unit secondaire. Excutez la commande write memory surl'unit active pour rpliquer la configuration (qui inclut le certificat/la cl prive) sur l'unit en veille. Tous les certificats/cls sur l'unit en veille

sont effacs et rintroduits par la configuration de l'unit active.

Remarque: Vous n'avez pas besoin d'importer manuellement les certificats, les cls et les lments d'authentification depuis l'unit active pourles exporter ensuite sur l'unit en veille.

AVERTISSEMENT : chec du dchiffrement du message de basculementMessage d'erreur :

Failover message decryption failure. Please make sure both units have thesame failover shared key and crypto license or system is not out of memory

Ce problme provient de la configuration de la cl de basculement. Pour rsoudre ce problme, supprimez la cl de basculement et configurez lanouvelle cl partage.

Basculement des modules ASA

Si Advanced Inspection and Prevention Security Services Module (AIP-SSM) ou Content Security and Control Security Services Module (CSC-SSM) sont utiliss sur les units actives et en veille, elles fonctionnent indpendamment du ASA en matire de basculement. Les modulesdoivent tre configurs manuellement dans les units actives et en veille. La fonctionnalit de basculement ne rplique pas laconfiguration du module.

En matire de basculement, les units ASA qui ont des modules AIP-SSM ou CSC-SSM doivent avoir le mme type de matriel. Par exemple, sil'unit principale comporte le module ASA-SSM-10, l'unit secondaire doit contenir aussi le module ASA-SSM-10.

Pour remplacer le module AIP-SSM sur une paire de basculement compose d'ASA, vous devez excuter la commande hw-module module 1shutdown avant de supprimer le module. En outre, l'ASA doit tre mis hors tension car les modules ne sont pas changeables chaud. Pour plusd'informations sur l'installation et le retrait du module AIP-SSM, rfrez-vous Instructions d'installation et de retrait.

chec de l'allocation du paquet de messages de basculementMessage d'erreur %PIX|ASA-3-105010: ((Primary) Failover message block alloc failedExplication : Le bloc de mmoire est puis. Il s'agit d'un message provisoire. Le dispositif de scurit doit reprendre. Principal peut aussi trerpertori comme Secondaire pour l'unit secondaire.

Action recommande : Utilisez la commande show blocks pour surveiller le bloc de mmoire actuel.

Problme de basculement du module AIP

Si vous avez deux ASA dans une configuration de basculement et que chacun contient un module AIP-SSM, vous devez rpliquer manuellementla configuration des AIP-SSM. Seule la configuration du ASA est rplique par le mcanisme de basculement. Le module AIP-SSM n'est pasinclus dans le basculement.

L'AIP-SSM commence par fonctionner indpendamment du ASA pour le basculement. Pour le basculement, tout ce qui est ncessaireconcernant l'ASA est que les modules AIP aient le mme type de matriel. En outre, comme avec toute autre opration de basculement, laconfiguration du ASA doit tre synchronise entre l'unit active et l'unit en veille.

Quant la configuration des AIP, ce sont effectivement des dtecteurs indpendants. Il n'y a aucun basculement entre les deux, et ils n'ontaucune connaissance l'un de l'autre. Ils peuvent excuter des versions de code indpendantes. En effet, ils ne doivent pas se correspondre etl'ASA ne s'occupe pas de la version de code excute sur l'AIP pour le basculement.

ASDM initie une connexion avec l'AIP via l'interface de gestion IP que vous avez configure sur l'AIP. En d'autres termes, il se connecte audtecteur via HTTPS selon la faon dont vous configurez le dtecteur.

Vous pouvez avoir un basculement de l'ASA indpendamment des modules IPS (AIP). Vous continuerez d'tre connect au mme ASA car voustes connect son IP de gestion. Pour vous connecter l'autre AIP, vous devez vous reconnecter son IP de gestion pour le configurer et yaccder.

Pour consulter des exemples de configuration pour l'acheminement du trafic rseau entre les dispositifs de scurit adaptatifs ddis de la gammeCisco ASA 5500 et l'Advanced Inspection and Prevention Security Services Module (AIP-SSM) (IPS), rfrez-vous ASA : Exemple deconfiguration pour l'acheminement de trafic rseau entre l'ASA et l'AIP SSM.

Impossible de mettre niveau la paire de basculement ASA entre la carte Ethernet et l'interface optique

Suivez ces tapes pour mettre niveau la paire de basculement ASA entre la carte Ethernet et l'interface optique :

Assurez-vous que le priphrique principal est actif, arrtez l'ASA secondaire/en veille et ajoutez la nouvelle carte d'interface.1.Retirez tous les cbles et dmarrez l'ASA secondaire/en veille pour tester que le nouveau matriel est oprationnel.2.

Arrtez nouveau l'ASA secondaire/en veille et rebranchez les cbles.3.Arrtez l'ASA primaire/active puis et redmarrez l'ASA secondaire.4.

Remarque: N'autorisez pas les deux ASA s'activer en mme temps.

Vrifiez que l'ASA secondaire est oprationnel et qu'il achemine le trafic et activez ensuite le priphrique secondaire avec la commandefailover active.

5.

Installez la nouvelle interface sur l'ASA principal et retirez les cbles.6.Dmarrez l'ASA principal et testez le nouveau matriel.7.Arrtez l'ASA principal et rebranchez les cbles.8.Dmarrez l'ASA principal et activez le priphrique principal avec la commande failover active.9.

Remarque: Vrifiez l'tat de basculement sur les deux priphriques avec la commande show failover. Si l'tat de basculement est OK, vouspouvez configurer les interfaces sur le priphrique principal actif, qui sera rpliqu sur le priphrique secondaire en veille.

ERREUR : Le Basculement ne peut pas tre configur tandis que le serveur des gens du pays CA est configur.

Ce message d'erreur apparat quand des tentatives d'un utilisateur de configurer le Basculement sur une ASA :

ERREUR : Le Basculement ne peut pas tre configur tandis que le serveur des gens du pays CA estconfigur. Veuillez retirer la configuration du serveur des gens du pays CA avant de configurerle Basculement.

Cette erreur se produit parce que l'ASA ne prend en charge pas configurer le serveur local et le Basculement CA en mme temps.

%ASA-1-104001 : (Secondaire) commutant l'ACTIVE - la carte de service dans l'autre unit a manquJe reois ce message d'erreur sur mes paires du Basculement ASA : %ASA-1-104001 : (Secondaire) commutant l'ACTIVE -la carte de service dans l'autre unit a manqu

Cette question se produit habituellement en raison du module IPS CSC et pas en raison de l'ASA elle-mme. Si vous recevez ce message dans lejournal des erreurs, vrifiez la configuration des modules ou de l'essai les rinsrant. Rfrez-vous au pour en savoir plus de l'ID de bogue CiscoCSCtf00039 (clients enregistrs seulement).

Problmes identifis

Erreur : The name on the security certificate is invalid or does not match the name of the site

Quand un utilisateur tente d'accder l'ASDM sur l'ASA secondaire avec la version 8.x du logiciel et ASDM version 6.x commeconfiguration de basculement, l'erreur suivante est reue :

Erreur : The name on the security certificate is invalid or does not match the name of thesite

Dans le certificate, l'metteur et le nom du sujet est l'adresse IP de l'unit active (et pas l'adresse IP de l'unit en veille).

Dans ASA version 8.x, le certificat interne (ASDM) est rpliqu de l'unit active l'unit en veille, ce qui provoque le message d'erreur.Cependant, si le mme pare-feu fonctionne avec le code version 7.x avec ASDM 5.x et que vous tentez d'accder ASDM, vous recevezl'avertissement de scurit priodique :

The security certificate has a valid name matching the name of the page you are trying toview

Lorsque vous vrifiez le certificat, l'metteur et le nom du sujet est l'adresse IP de l'unit en veille.Erreur : %ASA-ha-3-210007 : Le LU allouent le xlate a manqu

Cette erreur est reue : %ASA-ha-3-210007 : Le LU allouent le xlate a manqu

On a observ cette question et l'ID de bogue Cisco ouvert une session CSCte08816 (clients enregistrs seulement). Afin de rsoudre ceproblme, vous devez amliorer une des versions de logiciel dans lesquelles cette bogue a t rpare.Recharges du standby ASA pendant la rplication de xlate de primaire

Pour le moment, cette question est vue avec les versions 8.4.2 et le 8.4.1.11. Essayez d'amliorer 8.4.2.4 afin de rparer la question.Rfrez-vous au pour en savoir plus de l'ID de bogue Cisco CSCtr33228.

Informations connexesDpannage du basculement FWSMFonctionnement du basculement sur le pare-feu Cisco Secure PIX

Manipulation de Basculement ASA du trafic de l'application et des configurations de VPN SSLExemples et notes techniques de configuration

1992-2010 Cisco Systems Inc. Tous droits rservs.

Date du fichier PDF gnr: 19 octobre 2014

http://www.cisco.com/cisco/web/support/CA/fr/109/1096/1096751_pixfailover.html

1096751_pixfailover.pdf

Documents

Transcript of 1096751_pixfailover.pdf