Pixfailover PDF

Exemple de configuration de basculement actif/veille PIX/ASA
Contenu
Introduction
Conditions pralables
Conditions requises
Composants utiliss
Produits connexes
Conventions
Basculement actif/veille
Prsentation du basculement actif/veille
tat principal/secondaire et tat actif/veille
Synchronisation d'initialisation et de configuration de priphrique
Rplication des commandes
Dclencheurs de basculement
Oprations de basculement
Basculement priodique et dynamique
Basculement priodique
Basculement dynamique
Configuration de basculement actif/veille base sur les cbles (dispositif de scurit PIX uniquement)
Diagramme du rseau
Configurations
Configuration de basculement actif/veille bas sur le LAN
Diagramme du rseau
Configuration de l'unit principale
Configuration de l'unit secondaire
Configurations
Vrifiez
Utilisation de la commande show failover
Affichage des interfaces surveilles
Affichage des commandes de basculement dans la configuration en cours
Configuration des alertes par e-mail relatives au basculement des ASA
Tests sur la fonctionnalit de basculement
Basculement forc
Basculement dsactiv
Restauration d'une unit dfaillante
Remplacement d'une unit dfaillante par une nouvelle unit
Dpannez
Surveillance du basculement
Dfaillance d'une unit
Connexion alloue LU dfaillante
L'unit principale a perdu les communications de basculement avec l'autre unit dans l'interface nom_interface
Messages systme de basculement
Messages de dbogage
SNMP
Problme NAT 0
Dlai d'interrogation du basculement
Exportation du certificat ou de la cl prive dans la configuration de basculement
AVERTISSEMENT : chec du dchiffrement du message de basculement
Basculement des modules ASA
chec de l'allocation du paquet de messages de basculement
Problme de basculement du module AIP
Impossible de mettre niveau la paire de basculement ASA entre la carte Ethernet et l'interface optique
ERREUR : Le Basculement ne peut pas tre configur tandis que le serveur des gens du pays CA est configur.
%ASA-1-104001 : (Secondaire) commutant l'ACTIVE - la carte de service dans l'autre unit a manqu
Problmes identifis
Informations connexes
Introduction
La configuration de basculement requiert deux appliances de scurit identiques connectes entre elles par un lien de basculement ddi et
ventuellement un lien de basculement dynamique. La sant des interfaces et des units actives est surveille pour dterminer si les conditions
spcifiques de basculement sont remplies. Si ces conditions sont remplies, le basculement se produit.
Le dispositif de scurit supporte deux configurations de basculement : Basculement actif/actif et Basculement actif/veille. Chaque configuration
de basculement a sa propre mthode pour dterminer et excuter le basculement. Avec le basculement actif/actif, les deux units peuvent
acheminer le trafic rseau. Cela vous permet de configurer l'quilibrage de charge sur votre rseau. Le basculement actif/actif est seulement
disponible sur les units qui fonctionnent en mode de contexte multiple. Avec le basculement actif/veille, seule une unit achemine le trafic
tandis que l'autre unit attend en tat de veille. Le basculement actif/veille est disponible sur les units qui fonctionnent en mode de contexte
unique ou multiple. Ces deux configurations de basculement supportent le basculement dynamique et le basculement statique (priodique).
Ce document prsente comment configurer un basculement actif/veille dans un dispositif de scurit PIX.
Remarque: Le basculement de VPN n'est pas support sur les units qui fonctionnent en mode de contexte multiple, car les VPN ne sont pas
supports dans le contexte multiple. Le basculement de VPN est disponible seulement pour les configurations de basculement actif/veille dans
les configurations dans un contexte unique.
Cisco recommande de ne pas utiliser l'interface de gestion pour le basculement, notamment pour le basculement dynamique, o le dispositif de
scurit envoie constamment les informations de connexion d'un dispositif de scurit l'autre. L'interface utilise pour le basculement doit tre
au moins de la mme capacit que les interfaces qui acheminent le trafic habituel, et bien que les interfaces de l'ASA 5540 soient Gigabit,
l'interface de gestion est FastEthernet seulement. L'interface de gestion est conue pour le trafic de gestion seulement et est spcifie comme
management0/0. Cependant, vous pouvez employer la commande management-only pour configurer une interface en interface de gestion
seulement. En outre, pour Management 0/0, vous pouvez dsactiver le mode gestion seule pour que l'interface puisse acheminer le trafic comme
toute autre interface. Pour plus d'informations sur la commande management-only, rfrez-vous au Guide de rfrence des dispositifs de
scurit Cisco, Version 8.0.
Ce guide de configuration fournit un exemple de configuration pour une brve introduction la technologie actif/veille de PIX/ASA 7.x. Rfrezvous au Guide de rfrence des commandes ASA/PIX pour mieux comprendre la thorie la base de cette technologie.
Conditions pralables
Conditions requises
Configuration matrielle
Les deux units contenues dans une configuration de basculement doivent avoir la mme configuration matrielle. Elles doivent avoir le mme
modle, le mme nombre et le mme type d'interfaces, et la mme quantit de RAM.
Remarque: Les deux units n'ont pas besoin d'avoir la mme taille de mmoire flash. Si vous utilisez des units avec diffrentes tailles de
mmoire flash dans votre configuration de basculement, assurez-vous que l'unit avec la mmoire flash la plus petite a assez d'espace pour
contenir les fichiers d'image logicielle et les fichiers de configuration. Sinon, la synchronisation de la configuration de l'unit avec la mmoire
flash la plus grande et de l'unit avec la mmoire flash la plus petite choue.
Configuration logicielle requise
Les deux units prsentes dans une configuration de basculement doivent tre en mode oprationnel (rout ou transparent, contexte unique ou
multiple). Elles doivent avoir la mme version logicielle majeure (premier numro) et mineure (second numro), mais vous pouvez utiliser
diffrentes versions du logiciel dans un processus de mise niveau. Par exemple, vous pouvez mettre niveau une unit de la version 7.0(1) vers
la version 7.0(2) sans que le basculement ne se dsactive. Nous vous recommandons de mettre niveau les deux units vers la mme version
pour assurer la compatibilit long terme.
Rfrez-vous la section Mises niveau sans indisponibilit pour les paires de basculement du Guide de configuration de la ligne de commande
d'un dispositif de scurit Cisco, Version 8,0 pour plus d'informations sur la mise niveau du logiciel sur une paire de basculement.
Exigences de licence
Sur la plate-forme de dispositif de scurit PIX, au moins une des units doit avoir une licence sans restriction (licence UR).
Remarque: Il peut tre ncessaire de mettre niveau les licences sur une paire de basculement afin d'obtenir des fonctionnalits et avantages
supplmentaires. Pour plus d'informations sur la mise niveau, rfrez-vous Mise niveau d'une cl de licence sur une paire de basculement
Remarque: Les fonctionnalits sous licence (par exemple les homologues VPN SSL ou les contextes de scurit) doivent tre identiques sur les
deux appliances de scurit qui participent au basculement.
Composants utiliss
Les informations de ce document sont bases sur le dispositif de scurit PIX version 7.x et ultrieures.
Les informations contenues dans ce document ont t cres partir des priphriques d'un environnement de laboratoire spcifique. Tous les
priphriques utiliss dans ce document ont dmarr avec une configuration efface (par dfaut). Si votre rseau est oprationnel, assurez-vous
que vous comprenez l'effet potentiel de toute commande.
Produits connexes
Cette configuration peut galement tre utilise avec le dispositif de scurit version 7.x et ultrieures.
Conventions
Pour plus d'informations sur les conventions utilises dans ce document, reportez-vous Conventions relatives aux conseils techniques Cisco.
Basculement actif/veille
Cette section dcrit le basculement actif/veille et comprend les rubriques suivantes :

Le basculement actif/veille permet d'utiliser un dispositif de scurit en veille pour relayer la fonctionnalit d'une unit dfaillante. Quand l'unit
active est dfaillante, elle passe l'tat de veille tandis que l'unit en veille passe l'tat actif. L'unit qui devient active se charge des adresses
IP (ou, pour un pare-feu transparent, de l'adresse IP de gestion) et des adresses MAC de l'unit dfaillante et commence acheminer le trafic.
L'unit qui est maintenant l'tat de veille se charge des adresses IP et MAC en veille. tant donn que les priphriques rseau ne voient aucun
changement dans le pairage des adresses MAC vers IP, aucune entre ARP ne change ou ne dpasse le dlai sur le rseau.
Remarque: Pour le mode de contexte multiple, le dispositif de scurit peut relayer l'unit entire ( avec tous les contextes) mais non les
diffrents contextes sparment.

Les diffrences majeures entre les deux units d'une paire de basculement concernent l'identit de l'unit active et celle de l'unit en veille,
savoir quelles sont les adresses utiliser et quelle unit est l'unit principale et achemine le trafic activement.
Quelques diffrences existent entre les units selon l'identit de l'unit principale (comme spcifie dans la configuration) et celle de l'unit
secondaire :
L'unit principale devient toujours l'unit active si les deux units dmarrent en mme temps (et ont la mme sant oprationnelle).
L'adresse MAC de l'unit principale est toujours couple avec les adresses IP actives. Une exception cette rgle se produit quand l'unit
secondaire est active et ne peut pas obtenir l'adresse MAC principale via le lien de basculement. Dans ce cas, l'adresse MAC secondaire
est utilise.

La synchronisation de configuration a lieu quand un des priphriques ou les deux de la paire de basculement dmarrent. Les configurations sont
toujours synchronises de l'unit active vers l'unit en veille. Quand l'unit en veille excute son dmarrage initial, elle efface sa configuration
en cours (except les commandes de basculement ncessaires pour communiquer avec l'unit active), et l'unit active envoie sa configuration
entire l'unit en veille.
L'unit active est dtermine par les lments suivants :
Si une unit dmarre et dtecte un homologue oprant dj l'tat actif, elle devient l'unit en veille.
Si une unit dmarre et ne dtecte aucun homologue, elle devient l'unit active.
Si les deux units dmarrent simultanment, l'unit principale devient l'unit active, et l'unit secondaire devient l'unit en veille.
Remarque: Si l'unit secondaire dmarre et ne dtecte pas l'unit principale, elle devient l'unit active. Elle utilise ses propres adresses MAC
pour les adresses IP actives. Quand l'unit principale devient disponible, l'unit secondaire remplace les adresses MAC par celles de l'unit
principale, ce qui peut entraner une interruption du trafic rseau. Pour viter cela, configurez la paire de basculement avec des adresses MAC
virtuelles. Consultez la section Configuration du basculement actif/veille de ce document pour plus d'informations.
Quand la rplication commence, la console de le dispositif de scurit de l'unit active affiche le message Beginning configuration
replication: Sending to mate et, quand la rplication est termine, le dispositif de scurit affiche le message End Configuration
Replication to mate. Lors d'une rplication, les commandes entres sur l'unit active ne peuvent pas tre rpliques correctement sur l'unit
en veille, et les commandes entres sur l'unit en veille ne peuvent pas tre remplaces par la configuration rplique depuis l'unit active.
N'entrez pas de commandes sur l'une ou l'autre unit de la paire de basculement durant le processus de rplication de la configuration. Selon la
taille de la configuration, la rplication peut prendre quelques secondes plusieurs minutes.

Sur l'unit secondaire vous pouvez voir le message de rplication (durant la synchronisation) sur l'unit principale :
pix> .
Detected an Active mate
Beginning configuration replication from mate.
End configuration replication from mate.
pix>
Sur l'unit en veille, la configuration n'existe que dans la mmoire active. Pour enregistrer la configuration dans la mmoire flash aprs la
synchronisation, entrez les commandes suivantes :
Pour le mode de contexte unique, entrez la commande copy running-config startup-config sur l'unit active. La commande est rplique
sur l'unit en veille, laquelle enregistre alors sa configuration dans la mmoire flash.
Pour le mode de contexte multiple, entrez la commande copy running-config startup-config sur l'unit active depuis l'espace d'excution
du systme et partir de chaque contexte figurant sur le disque. La commande est rplique sur l'unit en veille, laquelle enregistre alors sa
configuration dans la mmoire flash. Les contextes avec des configurations de dmarrage sur des serveurs externes sont accessibles partir
de l'une ou l'autre unit via le rseau et il n'est pas ncessaire de les enregistrer sparment pour chaque unit. Vous pouvez aussi copier
les contextes contenus sur le disque de l'unit d'active sur un serveur externe, puis les copier sur le disque de l'unit en veille, o ils
deviennent disponibles lorsque l'unit se recharge.

La rplication des commandes va de l'unit active l'unit en veille. Lorsque les commandes sont entres sur l'unit active, elles sont envoyes
l'unit en veille via le lien de basculement. Vous n'avez pas enregistrer la configuration active dans la mmoire flash pour rpliquer les
commandes.
Remarque: Les modifications apportes sur l'unit en veille ne sont pas rpliques sur l'unit active. Si vous entrez une commande sur l'unit en
veille, le dispositif de scurit affiche le message *** WARNING **** Configuration Replication is NOT performed from Standby unit to
Active unit. Les configurations ne sont plus synchronises. Ce message s'affiche mme si vous entrez des commandes qui n'affectent pas la
configuration.
Si vous entrez la commande write standby sur l'unit active, l'unit en veille efface sa configuration en cours (except les commandes de
basculement utilises pour communiquer avec l'unit active), et l'unit active envoie sa configuration entire l'unit en veille.
Pour le mode de contexte multiple, quand vous entrez la commande write standby dans l'espace d'excution du systme, tous les contextes sont
rpliqus. Si vous entrez la commande write standby dans un contexte, la commande ne rplique que la configuration du contexte.
Les commandes rpliques sont enregistres dans la configuration en cours. Pour enregistrer les commandes rpliques dans la mmoire flash de
l'unit en veille, entrez les commandes suivantes :
Pour le mode de contexte unique, entrez la commande copy running-config startup-config sur l'unit active. La commande est rplique
sur l'unit en veille, laquelle enregistre alors sa configuration dans la mmoire flash.
Pour le mode de contexte multiple, entrez la commande copy running-config startup-config sur l'unit active depuis l'espace d'excution
du systme et dans chaque contexte contenu sur le disque. La commande est rplique sur l'unit en veille, laquelle enregistre alors sa
configuration dans la mmoire flash. Les contextes avec des configurations de dmarrage sur des serveurs externes sont accessibles partir
de l'une ou l'autre unit via le rseau et il n'est pas ncessaire de les enregistrer sparment pour chaque unit. Vous pouvez aussi copier
les contextes contenus sur disque de l'unit active sur un serveur externe, puis les copier sur le disque de l'unit en veille.
L'unit peut avoir une dfaillance si un des vnements suivants se produit :
L'unit a une dfaillance matrielle ou une panne d'alimentation.
L'unit a une dfaillance logicielle.
Trop d'interfaces surveilles ont une dfaillance.
La commande no failover active est entre sur l'unit active ou la commande failover active est entre sur l'unit en veille.
Dans un basculement actif/veille, le basculement s'effectue unit par unit. Mme sur des systmes qui fonctionnent en mode de contexte
multiple, vous ne pouvez pas relayer de contextes individuels ou de groupes de contextes.
Ce tableau montre l'opration de basculement pour chaque vnement de dfaillance. Pour chaque vnement de dfaillance, le tableau contient
les rgles de basculement (basculement ou aucun basculement), l'opration effectue par l'unit active et des remarques particulires sur l'tat de
basculement et les oprations de basculement. Le tableau montre le comportement de basculement.
vnement de
dfaillance
Stratgie
Opration de
l'unit active
Opration de
l'unit en
veille
Notes
L'unit active a
eu une dfaillance
Basculement S/O
(matrielle ou
d'alimentation)
S'active
Marque
l'unit active
comme
dfaillante
Aucun message
hello n'est reu sur
une interface
surveille ou sur le
lien de
basculement.
L'unit
Pas de
Se met en
auparavant active
basculement veille
reprend
Aucune
opration
Aucun
L'unit en veille a
eu une dfaillance Pas de
(matrielle ou
basculement
d'alimentation)
Le lien de
basculement a eu
Pas de
une dfaillance en
basculement
cours de
fonctionnement
Marque
l'unit en
S/O
veille comme
dfaillante
Quand l'unit en
veille est marque
comme dfaillante,
l'unit active ne
tente aucun
basculement, mme
si le seuil de
dfaillance de
l'interface est
dpass.
Marque
l'interface de
basculement
comme
dfaillante
Marque
l'interface de
basculement
comme
dfaillante
Vous devez
restaurer le lien de
basculement ds
que possible car
l'unit ne peut pas
relayer l'unit en
veille alors que le
lien de basculement
est dfaillant.
S'active
Si le lien de
basculement a une
dfaillance au
dmarrage, les
deux units
deviennent actives.
Marque
Le lien de
l'interface de
basculement a eu Pas de
basculement
une dfaillance au basculement
comme
dmarrage
dfaillante
Le lien de
basculement
dynamique a
manqu
Pas de
Aucune
basculement opration
Aucune
opration
Les informations
d'tat sont
primes et les
sessions se
terminent si un
basculement se
produit.
Dfaillance de
l'interface sur
l'unit active audessus du seuil
Marque
l'unit active
Basculement
comme
dfaillante
S'active
Aucun
Dfaillance de
l'interface sur
Pas de
Aucune
l'unit en veille
basculement opration
au-dessus du seuil
Quand l'unit en
veille est marque
comme dfaillante,
Marque
l'unit active ne
l'unit en
tente aucun
veille comme basculement, mme
dfaillante
si le seuil de
dfaillance de
l'interface est
dpass.
Basculement priodique et dynamique

Le dispositif de scurit supporte deux types de basculement : priodique et dynamique. Cette section comprend les rubriques suivantes :
Quand un basculement se produit, toutes les connexions actives sont supprimes. Les clients doivent rtablir les connexions quand la nouvelle
unit active prend le relais.
Quand le basculement dynamique est activ, l'unit active transfre continuellement les informations d'tat par connexion l'unit en veille.
Lorsqu'un basculement s'est produit, les mmes informations de connexion sont disponibles sur la nouvelle unit active. Les applications
utilisateur supportes ne doivent pas ncessairement se reconnecter pour garder la mme session de transmission.
Les informations d'tat transmises l'unit en veille incluent les lments suivants :
La table de conversion NAT
Les tats des connexions TCP
Les tats des connexions UDP
La table ARP
La table des ponts de la couche 2 (quand elle fonctionne en mode pare-feu transparent)
Les tats des connexions HTTP (si la rplication HTTP est active)
La table SA ISAKMP et IPSec
La base des connexions GTP PDP
Les informations transmises l'unit en veille quand le basculement dynamique est activ incluent les lments suivants :
La table des connexions HTTP (sauf si la rplication HTTP est active)
La table des authentifications utilisateur (uauth)
Les tables de routage
Les informations d'tat relatives aux modules des services de scurit
Remarque: Si le basculement se produit durant une session Cisco IP SoftPhone active, l'appel demeure actif car les informations d'tat de la
session d'appel sont rpliques sur l'unit en veille. Quand l'appel est termin, le client IP SoftPhone perd la connexion avec le gestionnaire
d'appels. Cela se produit car il n'ya aucune information de session pour le message de raccrochage CTIQBE sur l'unit en veille. Quand le client
IP SoftPhone ne reoit pas de rponse du gestionnaire d'appels dans un certain dlai, il considre le gestionnaire d'appels comme inaccessible et
annule sont enregistrement.
Configuration de basculement actif/veille base sur les cbles (dispositif de scurit PIX
uniquement)
Diagramme du rseau
Ce document utilise la configuration rseau suivante :
Remarque: Le basculement bas sur les cbles est disponible seulement sur le dispositif de scurit de la gamme PIX 500.
Cette section vous fournit des informations pour configurer les fonctionnalits dcrites dans ce document.
Suivez ces tapes pour configurer le basculement actif/veille avec un cble srie comme lien de basculement. Les commandes utilises dans cette
tche sont entres sur l'unit principale de la paire de basculement. L'unit principale est l'unit qui a l'extrmit de cble marque Primary
branche sur elle. Pour les priphriques en mode de contexte multiple, les commandes sont entres dans l'espace d'excution du systme, sauf
indication contraire.
Vous n'avez pas besoin d'amorcer l'unit secondaire de la paire de basculement quand vous utilisez le basculement bas sur les cbles. Laissez
l'unit secondaire hors tension jusqu' l'affichage de l'invite de mise sous tension.
Suivez ces tapes pour configurer le basculement actif/veille bas sur les cbles :
1. Connectez le cble de basculement aux dispositifs de scurit PIX. Veillez brancher l'extrmit du cble marque Primary l'unit
que vous utilisez comme unit principale et celle marque Secondary l'autre unit.
2. Mettez sous tension l'unit principale.
3. Si vous ne l'avez pas dj fait, configurez les adresses IP actives et en standby pour chaque interface de donnes (mode rout) ou pour
l'interface de gestion (mode transparent). L'adresse IP en standby est utilise sur le dispositif de scurit qui est l'unit en veille en cours.
Elle doit se trouver sur le mme sous-rseau que l'adresse IP active.
Remarque: Ne configurez pas d'adresse IP pour le lien de basculement dynamique si vous utilisez une interface de basculement
dynamique ddie. La commande failover interface ip s'utilise pour configurer une interface de basculement dynamique ddie dans une
tape ultrieure.
hostname(config-if)#ip address <active_addr> <netmask>
standby <standby_addr>
Dans cet exemple, l'interface externe de l'unit PIX principale est configure de la faon suivante :
hostname(config-if)#ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
Ici, 172.16.1.1 est utilis pour l'adresse IP de l'interface externe de l'unit principale, et 172.16.1.2 est utilis pour l'interface externe de
l'unit secondaire (en veille).

Remarque: En mode de contexte multiple, vous devez configurer les adresses d'interface depuis chaque contexte. Utilisez la commande
changeto context pour passer d'un contexte l'autre. L'invite de commande devient hostname/context(config-if)#, o context est le nom
du contexte actif.
4. Pour activer le basculement dynamique, configurez le lien de basculement dynamique.
a. Spcifiez l'interface utiliser comme lien de basculement dynamique
hostname(config)#failover link if_name phy_if
Dans cet exemple, l'interface Ethernet2 est utilise pour changer les informations d'tat du lien de basculement dynamique.
hostname(config)#failover link state Ethernet2
L'argument nameif affecte un nom logique l'interface spcifie par l'argument phy_if. L'argument phy_if peut tre le nom du port
physique, par exemple Ethernet1, ou une sous-interface cre prcdemment, par exemple Ethernet0/2.3. Cette interface ne doit pas
tre utilise pour un autre objectif.
b. Assignez une adresse IP active et de rserve au lien de basculement dynamique :
hostname(config)#failover interface ip <if_name> <ip_addr> <mask>
standby <ip_addr>
Dans cet exemple, 10.0.0.1 est utilis comme adresse IP active, et 10.0.0.2 est utilis comme adresse IP en standby pour le lien de
basculement dynamique.
hostname(config)#failover interface ip state 10.0.0.1 255.0.0.0
standby 10.0.0.2
Remarque: Si le lien de basculement dynamique utilise une interface de donnes, ignorez cette tape. Vous avez dj dfini
l'adresse IP active et l'adresse IP en standby pour l'interface.
L'adresse IP de secours doit tre dans le mme sous-rseau que l'adresse IP active. Vous n'avez pas besoin d'identifier le masque de
sous-rseau de l'adresse IP en standby.
L'adresse IP et l'adresse MAC du lien de basculement dynamique ne changent pas lors du basculement, sauf si elles utilisent une
interface de donnes. L'adresse IP active reste toujours avec l'unit principale, tandis que l'adresse en standby reste avec l'unit
secondaire.
c. Activez l'interface :
hostname(config)#interface phy_if
hostname(config-if)#no shutdown
5. Activez le basculement :
hostname(config)#failover
6. Mettez sous tension l'unit secondaire et activez le basculement sur l'unit si elle n'est pas dj active :
L'unit active envoie la configuration figurant dans la mmoire en cours l'unit en veille. Lors de la synchronisation de la configuration,
les messages Beginning configuration replication: l'envoi accoupler et rplication de configuration finale accoupler apparaissent
sur la console primaire.
Remarque: Commencez par excutez la commande failover sur le priphrique principal puis excutez-la sur le priphrique secondaire.
Une fois la commande failover excute sur le priphrique secondaire, le priphrique secondaire extrait immdiatement la configuration
du priphrique principal et se met en veille. Le priphrique ASA principal demeure oprationnel, achemine le trafic normalement et se
marque comme tant le priphrique actif. partir de l, chaque fois qu'une dfaillance se produit sur le priphrique actif, le priphrique
en veille s'active.
7. Sauvegardez la configuration la mmoire flash sur l'unit primaire. tant donn que les commandes entres sur l'unit principale sont
rpliques sur l'unit secondaire, l'unit secondaire enregistre aussi sa configuration dans la mmoire flash.
hostname(config)#copy running-config startup-config
Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrs seulement) pour obtenir plus d'informations sur les commandes
utilises dans cette section.
Configurations
Ce document utilise les configurations suivantes :
PIX
pix#show running-config
PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
!
interface Ethernet1
nameif inside
security-level 100
!
!--- Configure "no shutdown" in the stateful failover interface
!--- of both Primary and secondary PIX.
interface Ethernet2
description STATE Failover Interface
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
access-list 101 extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
failover
failover link state Ethernet2
failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2
asdm image flash:/asdm-521.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list 101
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
!
!--- Output Suppressed
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
Configuration de basculement actif/veille bas sur le LAN

Diagramme du rseau
Ce document utilise la configuration rseau suivante :
Cette section dcrit comment configurer le basculement actif/veille avec un lien de basculement Ethernet. Quand vous configurez le basculement
bas sur le LAN, vous devez amorcer le priphrique secondaire pour identifier le lien de basculement afin que le priphrique secondaire puisse
obtenir la configuration en cours du priphrique principal.
Remarque: Au lieu d'utiliser un cble Ethernet crois pour relier directement les units, Cisco recommande d'utiliser un commutateur ddi
entre l'unit principale et l'unit secondaire.
Configuration de l'unit principale

Suivez ces tapes pour configurer l'unit principale dans une configuration de basculement actif/veille bas sur le LAN. Les tapes ci-dessous
permettent d'obtenir la configuration minimale requise pour activer le basculement sur l'unit principale. Pour le mode de contexte multiple,
toutes les tapes sont excutes dans l'espace d'excution du systme, sauf indication contraire.
Pour configurer l'unit principale dans une paire de basculement actif/veille, procdez comme suit :
1. Si vous ne l'avez pas dj fait, configurez les adresses IP actives et en standby pour chaque interface (mode rout) ou pour l'interface de
gestion (mode transparent). L'adresse IP en standby est utilise sur le dispositif de scurit qui est l'unit en veille en cours. Elle doit se
trouver sur le mme sous-rseau que l'adresse IP active.
Remarque: Ne configurez pas d'adresse IP pour le lien de basculement dynamique si vous utilisez une interface de basculement
dynamique ddie. La commande failover interface ip s'utilise pour configurer une interface de basculement dynamique ddie dans une
tape ultrieure.
hostname(config-if)#ip address active_addr netmask

standby standby_addr
Dans cet exemple, l'interface externe du priphrique principal PIX est configure de la faon suivante :
hostname(config-if)#ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
Ici, 172.16.1.1 est utilis pour l'adresse IP de l'interface externe de l'unit principale, et 172.16.1.2 est utilis pour l'interface externe de
l'unit secondaire (en veille).
Remarque: En mode de contexte multiple, vous devez configurer les adresses d'interface depuis chaque contexte. Utilisez la commande
changeto context pour passer d'un contexte l'autre. L'invite de commande devient hostname/context(config-if)#, o context est le nom
du contexte actif.
2. (Pour la plate-forme de dispositif de scurit PIX uniquement) Activez le basculement bas sur le LAN.
hostname(config)#failover lan enable
3. Dsignez l'unit comme l'unit principale.

hostname(config)#failover lan unit primary
4. Dfinissez l'interface de basculement.

a. Spcifiez l'interface utiliser comme interface de basculement.
hostname(config)#failover lan interface if_name phy_if
Dans cette documentation, failover (nom de l'interface pour Ethernet3) est utilis pour une interface de basculement.
hostname(config)#failover lan interface failover Ethernet3
L'argument if_name affecte un nom l'interface spcifie par l'argument phy_if. L'argument phy_if peut tre le nom du port
physique, par exemple Ethernet1, ou une sous-interface cre prcdemment, par exemple Ethernet0/2.3.
b. Affectez l'adresse active et l'adresse en standby au lien de basculement.
hostname(config)#failover interface ip if_name ip_addr mask
standby ip_addr
Dans cette documentation, pour configurer le lien de basculement, 10.1.0.1 est utilis pour l'unit active, 10.1.0.2 pour l'unit en
veille, et failover est le nom d'une interface Ethernet3.
hostname(config)#failover interface ip failover 10.1.0.1
255.255.255.0 standby 10.1.0.2
sous-rseau de l'adresse en standby.
L'adresse IP et l'adresse MAC du lien de basculement ne changent pas lors du basculement. L'adresse IP active du lien de
basculement accompagne toujours l'unit principale, tandis que l'adresse IP en standby accompagne l'unit secondaire.
c. Activez l'interface
Dans l'exemple, Ethernet3 est utilis pour le basculement :

hostname(config)#interface ethernet3
5. (Facultatif) Pour activer le basculement dynamique, configurez le lien de basculement dynamique.
a. Spcifiez l'interface utiliser comme lien de basculement dynamique

hostname(config)#failover link if_name phy_if
Cet exemple a utilis state comme nom d'interface pour Ethernet2 pour changer les informations d'tat du lien de basculement :
hostname(config)#failover link state Ethernet2
Remarque: Si le lien de basculement dynamique utilise le lien de basculement ou une interface de donnes, vous devez seulement
fournir l'argument if_name .
L'argument if_name affecte un nom logique l'interface spcifie par l'argument phy_if . L'argument phy_if peut tre le nom du
port physique, par exemple Ethernet1, ou une sous-interface cre prcdemment, par exemple Ethernet0/2.3. Cette interface ne doit
pas tre utilise dans un autre but, sauf ventuellement comme lien de basculement.
b. Assignez une adresse IP active et de rserve au lien de basculement dynamique.
Remarque: Si le lien de basculement dynamique utilise le lien de basculement ou une interface de donnes, ignorez cette tape.
Vous avez dj dfini l'adresse IP active et l'adresse IP en standby pour l'interface.
hostname(config)#failover interface ip if_name ip_addr
mask standby ip_addr
Dans cet exemple, 10.0.0.1 est utilis comme adresse IP active et 10.0.0.2 est utilis comme adresse IP en standby pour le lien de
basculement dynamique.
hostname(config)#failover interface ip state 10.0.0.1 255.0.0.0
standby 10.0.0.2
sous-rseau de l'adresse en standby.
L'adresse IP et l'adresse MAC du lien de basculement dynamique ne changent pas lors du basculement, sauf si elles utilisent une
interface de donnes. L'adresse IP active reste toujours avec l'unit principale, tandis que l'adresse en standby reste avec l'unit
secondaire.
c. Activez l'interface.
Remarque: Si le lien de basculement dynamique utilise le lien de basculement ou une interface de donnes, ignorez cette tape.
Vous avez dj activ l'interface.
Remarque: Par exemple, dans ce scnario, Ethernet2 est utilis pour le lien de basculement dynamique :
6. Activez le basculement.
Remarque: Commencez par excutez la commande failover sur le priphrique principal puis excutez-la sur le priphrique secondaire.
Une fois la commande failover excute sur le priphrique secondaire, le priphrique secondaire extrait immdiatement la configuration
du priphrique principal et se met en veille. Le priphrique ASA principal demeure oprationnel, achemine le trafic normalement et se
marque comme tant le priphrique actif. partir de l, chaque fois qu'une dfaillance se produit sur le priphrique actif, le priphrique
en veille s'active.
7. Enregistrez la configuration systme dans la mmoire flash.
Configuration de l'unit secondaire

La seule configuration requise sur l'unit secondaire concerne l'interface de basculement. L'unit secondaire ncessite ces commandes pour
communiquer au dpart avec l'unit principale. Une fois que l'unit principale a envoy sa configuration l'unit secondaire, la seule diffrence
permanente entre les deux configurations est la commande failover lan unit , qui identifie chaque unit comme principale ou secondaire.
Pour le mode de contexte multiple, toutes les tapes sont excutes dans l'espace d'excution du systme, sauf indication contraire.
Pour configurer l'unit secondaire, procdez comme suit :
1. (Pour la plate-forme de dispositif de scurit PIX uniquement) Activez le basculement bas sur le LAN.
hostname(config)#failover lan enable
2. Dfinissez l'interface de basculement. Utilisez les paramtres que vous avez utiliss pour l'unit principale.
a. Spcifiez l'interface utiliser comme interface de basculement.
hostname(config)#failover lan interface if_name phy_if
Dans cette documentation, failover (nom de l'interface pour Ethernet3) est utilis pour une interface de basculement LAN.
hostname(config)#failover lan interface failover Ethernet3
L'argument if_name affecte un nom l'interface spcifie par l'argument phy_if.

b. Affectez l'adresse active et l'adresse en standby au lien de basculement.
hostname(config)#failover interface ip if_name ip_addr mask
standby ip_addr
Dans cette documentation, pour configurer le lien de basculement, 10.1.0.1 est utilis pour l'unit active, 10.1.0.2 pour l'unit en
veille, et failover est le nom d'une interface Ethernet3.
hostname(config)#failover interface ip failover 10.1.0.1
255.255.255.0 standby 10.1.0.2
Remarque: Entrez cette commande exactement comme vous l'avez entre dans l'unit principale lorsque vous avez configur
l'interface de basculement sur l'unit principale.
c. Activez l'interface.
Par exemple, dans ce scnario, Ethernet3 est utilis pour le basculement.

3. (Facultatif) dsignez cette unit comme l'unit secondaire.

hostname(config)#failover lan unit secondary
Remarque: Cette tape est facultative car, par dfaut, les units sont dsignes comme secondaires, sauf si elles ont t configures
prcdemment.
4. Activez le basculement.
Remarque: Une fois le basculement activ, l'unit active envoie la configuration figurant dans la mmoire en cours l'unit en veille.
Lors de la synchronisation de la configuration, les messages Beginning configuration replication: Sending to mate et End Configuration
Replication to mate apparaissent sur la console de l'unit active.
5. Un fois que la configuration en cours a termin la rplication, enregistrez la configuration dans la mmoire flash.
Configurations
Ce document utilise les configurations suivantes :
Priphrique PIX principal
PIX Version 7.2(1)
!
hostname pix
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
!
interface Ethernet1
nameif inside
security-level 100
!
!--- Configure "no shutdown" in the stateful failover interface
!--- of both Primary and secondary PIX.
interface Ethernet2
nameif state
description STATE Failover Interface
interface ethernet3
nameif failover
description LAN Failover Interface
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
access-list 101 extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
failover
failover
failover
failover
failover
failover
failover
failover
lan unit primary

lan interface failover Ethernet3
lan enable
key ******
link state Ethernet2
interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2
asdm image flash:/asdm-521.bin
no asdm history enable

arp timeout 14400
nat (inside) 0 access-list 101
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
Priphrique PIX secondaire

failover
failover
failover
failover
failover
failover
lan unit secondary

lan interface failover Ethernet3
lan enable
key ******
interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
Vrifiez
Utilisation de la commande show failover
Cette section dcrit la sortie de la commande show failover . Sur chaque unit, vous pouvez vrifier l'tat de basculement avec la commande
show failover .
pix#show failover
Failover On
Cable status: Normal
Failover unit Primary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(1), Mate 7.2(1)
Last Failover at: 06:07:44 UTC Dec 26 2006
This host: Primary - Active
Active time: 1905 (sec)

Interface outside (172.16.1.1):
Interface inside (192.168.1.1):
Other host: Secondary - Standby Ready
Stateful Failover Logical Update Statistics
Link : state Ethernet2 (down)
Stateful Obj
xmit
xerr
General
0
0
sys cmd
0
0
up time
0
0
RPC services
0
0
TCP conn
0
0
UDP conn
0
0
ARP tbl
0
0
Xlate_Timeout
0
0
VPN IKE upd
0
0
VPN IPSEC upd
0
0
VPN CTCP upd
0
0
VPN SDI upd
0
0
VPN DHCP upd
0
0
rcv
0
0
0
0
0
0
0
0
0
0
0
0
0
Normal
Normal
Normal
Normal
rerr
0
0
0
0
0
0
0
0
0
0
0
0
0
Logical Update Queue Information

Cur
Max
Total
Recv Q:
0
0
0
Xmit Q:
0
0
0

pix(config)#show failover
Failover On
Failover unit Secondary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(1), Mate 7.2(1)
Last Failover at: 00:00:18 UTC Jan 1 1993
This host: Secondary - Standby Ready
Interface outside (172.16.1.2): Normal
Interface inside (192.168.1.2): Normal
Other host: Primary - Active
Stateful Failover Logical Update Statistics
Link : state Ethernet2 (down)
Stateful Obj
xmit
xerr
General
0
0
sys cmd
0
0
up time
0
0
RPC services
0
0
TCP conn
0
0
UDP conn
0
0
ARP tbl
0
0
Xlate_Timeout
0
0
VPN IKE upd
0
0
VPN IPSEC upd
0
0
VPN CTCP upd
0
0
VPN SDI upd
0
0
VPN DHCP upd
0
0
rcv
0
0
0
0
0
0
0
0
0
0
0
0
0
Logical Update Queue Information

Cur
Max
Total
Recv Q:
0
0
0
Xmit Q:
0
0
0
Utilisez la commande show failover state pour vrifier l'tat.

pix#show failover state
====My State===
rerr
0
0
0
0
0
0
0
0
0
0
0
0
0
Primary | Active |
====Other State===
Secondary | Standby |
====Configuration State===
Sync Done
====Communication State===
Mac set
=========Failed Reason==============
My Fail Reason:
Other Fail Reason:
Comm Failure
Unit secondaire
pix#show failover state
====My State===
Secondary | Standby |
====Other State===
Primary | Active |
====Configuration State===
Sync Done - STANDBY
====Communication State===
Mac set
=========Failed Reason==============
My Fail Reason:
Other Fail Reason:
Pour vrifier les adresses IP de l'unit de basculement, utilisez show failover interfacecommand.
Unit principale
pix#show failover interface
interface state Ethernet2
System IP Address: 10.0.0.1 255.0.0.0
My IP Address
: 10.0.0.1
Other IP Address : 10.0.0.2
Unit secondaire
pix#show failover interface
interface state Ethernet2
System IP Address: 10.0.0.1 255.0.0.0
My IP Address
: 10.0.0.2
Other IP Address : 10.0.0.1
Affichage des interfaces surveilles

Pour afficher l'tat des interfaces surveilles : En mode de contexte unique, entrez la commande show monitor-interface en mode de
configuration globale. En mode de contexte multiple, entrez la commande show monitor-interface dans un contexte.
Remarque: Pour activer la surveillance de la sant sur une interface spcifique, utilisez la commande monitor-interface en mode de
configuration globale :
monitor-interface <if_name>

pix(config)#show monitor-interface
Other host: Secondary - Standby Ready
Normal
Normal
Normal
Normal

pix(config)#show monitor-interface
This host: Secondary - Standby Ready
Other host: Primary - Active

Remarque: Si vous n'entrez pas d'adresse IP de basculement, la commande show failover affiche 0.0.0.0 pour l'adresse IP et la surveillance de
l'interface reste l'tat en attente. Rfrez-vous la section show failover section Rfrence de commandes des dispositifs de scurit Cisco,
version 7.2 pour plus d'informations sur les diffrents tats de basculement.
Remarque: Par dfaut, la surveillance des interfaces physiques est active et la surveillance des sous-interfaces est dsactive.
Affichage des commandes de basculement dans la configuration en cours

Pour afficher les commandes de basculement dans la configuration en cours, entrez la commande suivante :
hostname(config)#show running-config failover
Toutes les commandes de basculement sont affiches. Sur les units qui fonctionnent en mode de contexte multiple, entrez la commande show
running-config failover dans l'espace d'excution du systme. Entrez la commande show running-config all failover pour afficher les
commandes de basculement dans la configuration en cours et pour inclure les commandes dont vous n'avez pas chang la valeur par dfaut.
Configuration des alertes par e-mail relatives au basculement des ASA

Suivez ces tapes pour configurer l'alerte par e-mail pour le basculement :
1.
2.
3.
4.
hostname(config)# mail-consignation haute-priorit

hostname(config)# adresse-expditeur-consignation xxx-001@example.com
hostname(config)# adresse-destinataire-consignation admin@example.com
hostname(config)# serveur-smtp X.X.X.X
Pour une description dtaille de ces commandes, rfrez-vous Envoi de messages Syslog une adresse email.
Tests sur la fonctionnalit de basculement

Pour tester la fonctionnalit de basculement, procdez comme suit :
1. Testez que votre unit active ou votre groupe de basculement achemine le trafic comme prvu avec FTP (par exemple) pour envoyer un
fichier d'un hte l'autre sur diffrentes interfaces.
2. Forcez un basculement vers l'unit en veille avec la commande suivante :
Pour le basculement actif/veille, entrez la commande suivante sur l'unit active :
hostname(config)#no failover active
3. Utilisez FTP pour transmettre un autre fichier entre les deux mmes htes.
4. Si le test a chou, entrez la commande show failover pour vrifier l'tat de basculement.
5. Lorsque vous avez fini, vous pouvez restaurer l'unit ou le groupe de basculement dans son tat actif avec la commande :
Pour le basculement actif/veille, entrez la commande suivante sur l'unit active :
hostname(config)#failover active
Basculement forc
Pour forcer l'unit en veille s'activer, entrez l'une des commandes suivantes :
Entrez la commande suivante sur l'unit en veille :
hostname#failover active
Entrez la commande suivante sur l'unit active :

hostname#no failover active
Basculement dsactiv
Pour dsactiver le basculement, entrez la commande suivante :
hostname(config)#no failover
Si vous dsactivez le basculement sur une paire actif/veille, l'tat actif et en veille de chaque unit est conserv jusqu' ce que vous redmarriez.
Par exemple, l'unit en veille reste en mode de veille, et donc les deux units ne commencent pas acheminer le trafic. Pour activer l'unit en
veille (mme avec le basculement dsactiv), rfrez-vous la section Basculement forc.
Si vous dsactivez le basculement sur une paire actif/actif, les groupes de basculement restent l'tat actif sur l'unit sur laquelle ils sont
actuellement actifs, quelle que soit l'unit qu'ils doivent prfrer selon leur configuration. La commande No failover peut tre entre dans
l'espace d'excution du systme.
Restauration d'une unit dfaillante

Pour remettre une unit dfaillante dans un tat non dfaillant, entrez la commande suivante :
hostname(config)#failover reset
Si vous remettez une unit dfaillante dans un tat non dfaillant, elle ne s'active pas automatiquement. Les units ou groupes restaurs
demeurent en tat de veille jusqu' ce que le basculement (forc ou naturel) les active. Cela ne concerne pas un groupe de basculement configur
avec la commande preempt. Un groupe de basculement auparavant actif s'active s'il est configur avec la commande preempt et si l'unit sur
laquelle il a eu une dfaillance est son unit prfre.
Remplacement d'une unit dfaillante par une nouvelle unit

Suivez ces tapes pour remplacer une unit dfaillante par une nouvelle unit :
1. Excutez la commande no failover sur l'unit principale.
L'tat de l'unit secondaire indique standby unit as not detected.
2. Dbranchez l'unit principale et connectez l'unit principale de rechange.
3. Vrifiez que l'unit de rechange excute le mme logiciel et la mme version ASDM version que l'unit secondaire.
4. Excutez les commandes suivantes sur l'unit de rechange :
ASA(config)#failover lan unit primary

ASA(config)#failover lan interface failover Ethernet3
ASA(config)#failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
ASA(config)#interface Ethernet3
ASA(config-if)#no shut
ASA(config-if)#exit
5. Branchez l'unit principale de rechange au rseau et excutez la commande suivante :

ASA(config)#failover
Dpannez
Quand un basculement se produit, les deux dispositifs de scurit envoient des messages systme. Cette section comprend les rubriques
suivantes :
%ASA-3-210005 : Connexion alloue LU dfaillante
%PIX|ASA-1-105005 : ((L'unit principale) a perdu les communications de basculement avec l'autre unit dans l'interface nom_interface
Messages de dbogage
SNMP
Problme NAT 0
Problmes identifis
Cet exemple montre ce qui se produit quand le basculement n'a pas commenc surveiller les interfaces rseau. La fonctionnalit de
basculement ne commence pas surveiller les interfaces rseau avant qu'elle n'ait entendu le second paquet hello venant de l'autre unit sur
cette interface. Cela prend environ 30 secondes. Si l'unit est branche un commutateur rseau qui excute Spanning Tree Protocol (STP), cela
prend deux fois le dlai de transmission configur dans le commutateur (habituellement paramtr 15 secondes), plus ce dlai de
30 secondes. Cela provient du fait que, au dmarrage de PIX et juste aprs un vnement de basculement, le commutateur rseau dtecte une
boucle de pontage provisoire. Lorsqu'il dtecte cette boucle, il arrte de transmettre les paquets sur ces interfaces pendant le dlai de
transmission . Il passe alors en mode coute pendant un dlai de transmission supplmentaire durant lequel le commutateur coute les
boucles de pontage mais ne transmet pas le trafic (ou transmet des paquets hello de basculement). Aprs deux fois le dlai de transmission
(30 secondes) le flux de trafic reprend. Chaque unit PIX reste en mode attente jusqu' ce qu'elle entende des paquets hello dans un dlai
de 30 secondes venant de l'autre unit. Pendant que l'unit PIX transmet le trafic, l'autre unit n'est pas marque dfaillante parce qu'elle
n'entend pas les paquets hello . La surveillance se continue sur tous les autres lments surveiller (c'est--dire l'alimentation, la perte de
liaison avec l'interface et le cble de basculement hello ).
Pour le basculement Cisco recommande que les clients activent la fonctionnalit portfast sur tous les ports de commutateur connects aux
interfaces PIX. En outre, le channeling et le trunking doivent tre dsactivs sur ces ports. Si l'interface PIX a une dfaillance au cours du
basculement, le commutateur n'a pas attendre 30 secondes lorsque le port passe de l'tat listening l'tat learning puis l'tat forwarding.
Failover On
Reconnect timeout 0:00:00
Interface 0 (192.168.89.1): Normal
Other host: Secondary - Standby
(Waiting)
(Waiting)
(Waiting)
(Waiting)
En rsum, procdez comme suit pour limiter les problmes de basculement :

Contrlez les cbles rseau connects aux interfaces qui sont l'tat en attente/dfaillant et remplacez-les si possible.
Si un commutateur est connect entre les deux units, vrifiez que les rseaux connects l'interface qui sont l'tat en attente/dfaillant
fonctionnent correctement.
Contrlez le port de commutateur connect l'interface qui est l'tat en attente/dfaillant et, si possible, utilisez l'autre port FE du
commutateur.
Vrifiez que vous avez activ portfast et dsactiv le trunking et le channeling sur les ports de commutateur connects l'interface.

Dans cet exemple, un basculement a dtect une dfaillance. Notez que l'interface 1 de l'unit principale est l'origine de la dfaillance. Les
units retournent en mode waiting cause de la dfaillance. L'unit dfaillante s'est retire du rseau (les interfaces sont en panne) et
n'envoie plus de paquets hello sur le rseau. L'unit active demeure l'tat waiting jusqu' ce que l'unit dfaillante soit remplace et
que les communications de basculement redmarrent.
Failover On
Reconnect timeout 0:00:00
This host: Primary - Standby (Failed)
Interface 0 (192.168.89.2): Normal (Waiting)
Interface 1 (192.168.89.2): Failed (Waiting)
Other host: Secondary - Active

Un problme de mmoire peut exister si vous recevez le message d'erreur suivant :
Pour rsoudre ce problme, mettez niveau le logiciel PIX/ASA. Rfrez-vous au pour en savoir plus de l'ID de bogue Cisco CSCte80027
(clients enregistrs seulement).
L'unit principale a perdu les communications de basculement avec l'autre unit dans l'interface nom_interface
Ce message de basculement s'affiche si l'unit de la paire de basculement ne peut plus communiquer avec l'autre unit de la paire. Principal peut
aussi tre rpertori comme Secondaire pour l'unit secondaire.
((L'unit principale) a perdu les communications de basculement avec l'autre unit dans l'interface nom_interface
Vrifiez que le rseau connect l'interface spcifie fonctionne correctement.

Le dispositif de scurit met un certain nombre de messages systme relatifs au basculement au niveau de priorit 2, ce qui indique un tat
critique. Pour afficher ces messages, rfrez-vous Configuration de journalisation et messages du journal systme des dispositifs de scurit
Cisco pour activer la journalisation et consulter les descriptions des messages systme.
Remarque: Durant la commutation, la fonctionnalit de basculement s'arrte logiquement, puis active des interfaces qui gnrent des messages
syslog 411001 et 411002. Cette activit est normale.
Messages de dbogage
Pour consulter les messages de dbogage, entrez la commande debug fover. Rfrez-vous Rfrence de commandes des dispositifs de scurit
Cisco version 7.2 pour plus d'informations.
Remarque: tant donn qu'une forte priorit est attribue la sortie de dbogage dans le processus CPU, celle-ci peut fortement affecter les
performances. Par consquent, n'utilisez les commandes debug fover que pour rsoudre des problmes spcifiques ou dans des sessions de
dpannage avec le personnel d'assistance technique Cisco.
SNMP
Pour recevoir les interruptions SNMP syslog relatives au basculement, configurez les agents SNMP pour qu'ils envoient des interruptions SNMP
aux stations de gestion SNMP, dfinissez un hte syslog et compilez la MIB syslog Cisco sur votre station de gestion SNMP. Rfrez-vous aux
commandes snmp-server et logging dans le Guide de rfrence des commandes des dispositifs de scurit Cisco pour plus d'informations.
Problme NAT 0
Quand le dispositif de scurit Cisco est mis hors tension puis sous tension, la commande NAT 0 disparat de la configuration en cours. Ce
problme se produit mme aprs l'enregistrement de la configuration. Les autres commandes sont enregistres, mais la commande nat 0 n'est pas
enregistre.
Ce problme est d l'ID de bogue Cisco CSCsk18083 (clients inscrits seulement). Pour rsoudre ce problme, ne dfinissez pas les listes
d'accs non valides avec nat exemption. Utilisez les entres ace ip permit ou deny.
Dlai d'interrogation du basculement

Pour spcifier les dlais d'interrogation et de mise en suspens des units de basculement, utilisez la commande failover polltime dans le mode de
configuration globale.
failover polltime unit msec [time] reprsente le dlai allou pour vrifier l'existence de l'unit en veille avec les messages d'interrogation hello.
De mme, failover holdtime unit msec [time] reprsente l'intervalle dfini durant lequel une unit doit recevoir un message hello sur le lien de
basculement et aprs lequel l'autre unit est dclare dfaillante.
Pour spcifier les dlais d'interrogation et de mise en suspens de l'interface de donnes dans une configuration actif/veille, utilisez la commande
failover polltime interface en mode de configuration globale. Pour restaurer les dlais d'interrogation et de mise en suspens par dfaut, utilisez
la forme no de cette commande.
failover polltime interface [msec] time [holdtime time]
Utilisez la commande failover polltime interface pour changer la frquence d'envoi des paquets hello aux interfaces de donnes. Cette
commande est disponible uniquement pour le basculement actif/veille. Pour le basculement actif/actif, utilisez la commande polltime interface
dans le mode de configuration du groupe de basculement au lieu de la commande failover polltime interface.
Vous ne pouvez pas entrer de valeur de mise en suspens infrieure 5 fois le dlai d'interrogation de l'interface. Avec un dlai d'interrogation
infrieur, le dispositif de scurit peut dtecter une dfaillance et dclencher un basculement plus rapidement. Cependant, une dtection plus
rapide peut entraner des commutations inutiles lorsque le rseau est temporairement encombr. Le test de l'interface commence quand un paquet
hello n'est pas entendu sur l'interface pendant plus de la moiti du temps de mise en suspens.
Vous pouvez inclure la fois la commande failover polltime unit et la commande failover polltime interface dans la configuration.
Dans cet exemple, la frquence d'interrogation de l'interface est dfinie 500 millisecondes et dlai de mise en suspens 5 secondes :
hostname(config)#failover polltime interface msec 500 holdtime 5
Rfrez-vous la section failover polltime de Rfrence de commandes des dispositifs de scurit Cisco, version 7.2 pour plus d'informations.
Exportation du certificat ou de la cl prive dans la configuration de basculement

Le priphrique principal rplique automatiquement la cl prive/le certificat sur l'unit secondaire. Excutez la commande write memory sur
l'unit active pour rpliquer la configuration (qui inclut le certificat/la cl prive) sur l'unit en veille. Tous les certificats/cls sur l'unit en veille
sont effacs et rintroduits par la configuration de l'unit active.

Remarque: Vous n'avez pas besoin d'importer manuellement les certificats, les cls et les lments d'authentification depuis l'unit active pour
les exporter ensuite sur l'unit en veille.
AVERTISSEMENT : chec du dchiffrement du message de basculement

Message d'erreur :
Failover message decryption failure. Please make sure both units have the
same failover shared key and crypto license or system is not out of memory
Ce problme provient de la configuration de la cl de basculement. Pour rsoudre ce problme, supprimez la cl de basculement et configurez la
nouvelle cl partage.
Basculement des modules ASA

Si Advanced Inspection and Prevention Security Services Module (AIP-SSM) ou Content Security and Control Security Services Module (CSCSSM) sont utiliss sur les units actives et en veille, elles fonctionnent indpendamment du ASA en matire de basculement. Les modules
doivent tre configurs manuellement dans les units actives et en veille. La fonctionnalit de basculement ne rplique pas la
configuration du module.
En matire de basculement, les units ASA qui ont des modules AIP-SSM ou CSC-SSM doivent avoir le mme type de matriel. Par exemple, si
l'unit principale comporte le module ASA-SSM-10, l'unit secondaire doit contenir aussi le module ASA-SSM-10.
Pour remplacer le module AIP-SSM sur une paire de basculement compose d'ASA, vous devez excuter la commande hw-module module 1
shutdown avant de supprimer le module. En outre, l'ASA doit tre mis hors tension car les modules ne sont pas changeables chaud. Pour plus
d'informations sur l'installation et le retrait du module AIP-SSM, rfrez-vous Instructions d'installation et de retrait.
chec de l'allocation du paquet de messages de basculement

Message d'erreur %PIX|ASA-3-105010: ((Primary) Failover message block alloc failed
Explication : Le bloc de mmoire est puis. Il s'agit d'un message provisoire. Le dispositif de scurit doit reprendre. Principal peut aussi tre
rpertori comme Secondaire pour l'unit secondaire.
Action recommande : Utilisez la commande show blocks pour surveiller le bloc de mmoire actuel.
Problme de basculement du module AIP

Si vous avez deux ASA dans une configuration de basculement et que chacun contient un module AIP-SSM, vous devez rpliquer manuellement
la configuration des AIP-SSM. Seule la configuration du ASA est rplique par le mcanisme de basculement. Le module AIP-SSM n'est pas
inclus dans le basculement.
L'AIP-SSM commence par fonctionner indpendamment du ASA pour le basculement. Pour le basculement, tout ce qui est ncessaire
concernant l'ASA est que les modules AIP aient le mme type de matriel. En outre, comme avec toute autre opration de basculement, la
configuration du ASA doit tre synchronise entre l'unit active et l'unit en veille.
Quant la configuration des AIP, ce sont effectivement des dtecteurs indpendants. Il n'y a aucun basculement entre les deux, et ils n'ont
aucune connaissance l'un de l'autre. Ils peuvent excuter des versions de code indpendantes. En effet, ils ne doivent pas se correspondre et
l'ASA ne s'occupe pas de la version de code excute sur l'AIP pour le basculement.
ASDM initie une connexion avec l'AIP via l'interface de gestion IP que vous avez configure sur l'AIP. En d'autres termes, il se connecte au
dtecteur via HTTPS selon la faon dont vous configurez le dtecteur.
Vous pouvez avoir un basculement de l'ASA indpendamment des modules IPS (AIP). Vous continuerez d'tre connect au mme ASA car vous
tes connect son IP de gestion. Pour vous connecter l'autre AIP, vous devez vous reconnecter son IP de gestion pour le configurer et y
accder.
Pour consulter des exemples de configuration pour l'acheminement du trafic rseau entre les dispositifs de scurit adaptatifs ddis de la gamme
Cisco ASA 5500 et l'Advanced Inspection and Prevention Security Services Module (AIP-SSM) (IPS), rfrez-vous ASA : Exemple de
configuration pour l'acheminement de trafic rseau entre l'ASA et l'AIP SSM.
Impossible de mettre niveau la paire de basculement ASA entre la carte Ethernet et l'interface optique
Suivez ces tapes pour mettre niveau la paire de basculement ASA entre la carte Ethernet et l'interface optique :
1. Assurez-vous que le priphrique principal est actif, arrtez l'ASA secondaire/en veille et ajoutez la nouvelle carte d'interface.
2. Retirez tous les cbles et dmarrez l'ASA secondaire/en veille pour tester que le nouveau matriel est oprationnel.
3. Arrtez nouveau l'ASA secondaire/en veille et rebranchez les cbles.

4. Arrtez l'ASA primaire/active puis et redmarrez l'ASA secondaire.
Remarque: N'autorisez pas les deux ASA s'activer en mme temps.
5. Vrifiez que l'ASA secondaire est oprationnel et qu'il achemine le trafic et activez ensuite le priphrique secondaire avec la commande
failover active.
6. Installez la nouvelle interface sur l'ASA principal et retirez les cbles.
7. Dmarrez l'ASA principal et testez le nouveau matriel.
8. Arrtez l'ASA principal et rebranchez les cbles.
9. Dmarrez l'ASA principal et activez le priphrique principal avec la commande failover active.
Remarque: Vrifiez l'tat de basculement sur les deux priphriques avec la commande show failover. Si l'tat de basculement est OK, vous
pouvez configurer les interfaces sur le priphrique principal actif, qui sera rpliqu sur le priphrique secondaire en veille.
Ce message d'erreur apparat quand des tentatives d'un utilisateur de configurer le Basculement sur une ASA :
ERREUR : Le Basculement ne peut pas tre configur tandis que le serveur des gens du pays CA est
configur. Veuillez retirer la configuration du serveur des gens du pays CA avant de configurer
le Basculement.
Cette erreur se produit parce que l'ASA ne prend en charge pas configurer le serveur local et le Basculement CA en mme temps.
%ASA-1-104001 : (Secondaire) commutant l'ACTIVE - la carte de service dans l'autre unit a manqu
Je reois ce message d'erreur sur mes paires du Basculement ASA : %ASA-1-104001 : (Secondaire) commutant l'ACTIVE la carte de service dans l'autre unit a manqu
Cette question se produit habituellement en raison du module IPS CSC et pas en raison de l'ASA elle-mme. Si vous recevez ce message dans le
journal des erreurs, vrifiez la configuration des modules ou de l'essai les rinsrant. Rfrez-vous au pour en savoir plus de l'ID de bogue Cisco
CSCtf00039 (clients enregistrs seulement).
Problmes identifis
Erreur : The name on the security certificate is invalid or does not match the name of the site
Quand un utilisateur tente d'accder l'ASDM sur l'ASA secondaire avec la version 8.x du logiciel et ASDM version 6.x comme
configuration de basculement, l'erreur suivante est reue :
Erreur : The name on the security certificate is invalid or does not match the name of the
site
Dans le certificate, l'metteur et le nom du sujet est l'adresse IP de l'unit active (et pas l'adresse IP de l'unit en veille).
Dans ASA version 8.x, le certificat interne (ASDM) est rpliqu de l'unit active l'unit en veille, ce qui provoque le message d'erreur.
Cependant, si le mme pare-feu fonctionne avec le code version 7.x avec ASDM 5.x et que vous tentez d'accder ASDM, vous recevez
l'avertissement de scurit priodique :
The security certificate has a valid name matching the name of the page you are trying to
view
Lorsque vous vrifiez le certificat, l'metteur et le nom du sujet est l'adresse IP de l'unit en veille.
Erreur : %ASA-ha-3-210007 : Le LU allouent le xlate a manqu
Cette erreur est reue : %ASA-ha-3-210007 : Le LU allouent le xlate a manqu
On a observ cette question et l'ID de bogue Cisco ouvert une session CSCte08816 (clients enregistrs seulement). Afin de rsoudre ce
problme, vous devez amliorer une des versions de logiciel dans lesquelles cette bogue a t rpare.
Recharges du standby ASA pendant la rplication de xlate de primaire
Pour le moment, cette question est vue avec les versions 8.4.2 et le 8.4.1.11. Essayez d'amliorer 8.4.2.4 afin de rparer la question.
Rfrez-vous au pour en savoir plus de l'ID de bogue Cisco CSCtr33228.
Informations connexes
Dpannage du basculement FWSM
Fonctionnement du basculement sur le pare-feu Cisco Secure PIX
Manipulation de Basculement ASA du trafic de l'application et des configurations de VPN SSL

Exemples et notes techniques de configuration
1992-2010 Cisco Systems Inc. Tous droits rservs.

Date du fichier PDF gnr: 19 octobre 2014
http://www.cisco.com/cisco/web/support/CA/fr/109/1096/1096751_pixfailover.html

Pixfailover PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Pixfailover PDF

Загружено:

Авторское право:

Доступные форматы

Exemple de configuration de basculement actif/veille PIX/ASA

Prsentation du basculement actif/veille

tat principal/secondaire et tat actif/veille

Synchronisation d'initialisation et de configuration de priphrique

taille de la configuration, la rplication peut prendre quelques secondes plusieurs minutes.

Rplication des commandes

Basculement priodique et dynamique

l'unit secondaire (en veille).

hostname(config)#copy running-config startup-config

Configuration de basculement actif/veille bas sur le LAN

Configuration de l'unit principale

hostname(config-if)#ip address active_addr netmask

3. Dsignez l'unit comme l'unit principale.

4. Dfinissez l'interface de basculement.

Dans l'exemple, Ethernet3 est utilis pour le basculement :

5. (Facultatif) Pour activer le basculement dynamique, configurez le lien de basculement dynamique.

a. Spcifiez l'interface utiliser comme lien de basculement dynamique

Configuration de l'unit secondaire

L'argument if_name affecte un nom l'interface spcifie par l'argument phy_if.

Par exemple, dans ce scnario, Ethernet3 est utilis pour le basculement.

3. (Facultatif) dsignez cette unit comme l'unit secondaire.

lan unit primary

asdm image flash:/asdm-521.bin

no asdm history enable

Priphrique PIX secondaire

lan unit secondary

Active time: 1905 (sec)

Logical Update Queue Information

Priphrique PIX secondaire

Logical Update Queue Information

Utilisez la commande show failover state pour vrifier l'tat.

Affichage des interfaces surveilles

Priphrique PIX principal

Priphrique PIX secondaire

Interface outside (172.16.1.1): Normal

Affichage des commandes de basculement dans la configuration en cours

Configuration des alertes par e-mail relatives au basculement des ASA

hostname(config)# mail-consignation haute-priorit

Tests sur la fonctionnalit de basculement

Entrez la commande suivante sur l'unit active :

Restauration d'une unit dfaillante

Remplacement d'une unit dfaillante par une nouvelle unit

ASA(config)#failover lan unit primary

5. Branchez l'unit principale de rechange au rseau et excutez la commande suivante :

En rsum, procdez comme suit pour limiter les problmes de basculement :

Dfaillance d'une unit

Connexion alloue LU dfaillante

Messages systme de basculement

Dlai d'interrogation du basculement

failover polltime interface [msec] time [holdtime time]

hostname(config)#failover polltime interface msec 500 holdtime 5

Exportation du certificat ou de la cl prive dans la configuration de basculement

sont effacs et rintroduits par la configuration de l'unit active.

AVERTISSEMENT : chec du dchiffrement du message de basculement

Basculement des modules ASA

chec de l'allocation du paquet de messages de basculement

Problme de basculement du module AIP

3. Arrtez nouveau l'ASA secondaire/en veille et rebranchez les cbles.

Manipulation de Basculement ASA du trafic de l'application et des configurations de VPN SSL

1992-2010 Cisco Systems Inc. Tous droits rservs.

Вам также может понравиться