ASA/PIX:在透明模式配置主/备故障切换

目录简介先决条件要求使用的组件相关产品规则活动/备用故障切换活动/备用故障切换概述主要/辅助状态和活动/备用状态设备初始化和配置同步命令复制故障切换触发器故障切换操作常规和有状态故障切换常规故障切换有状态故障切换基于LAN的活动/备用故障切换配置网络图主要单元配置辅助单元配置配置验证使用showfailover命令查看受监视的接口显示运行配置中的故障切换命令故障切换功能测试强制故障切换禁用故障切换恢复故障单元故障排除故障切换监视单元故障LU分配连接失败故障切换系统消息调试消息SNMP故障切换轮询时间导出故障切换配置中的证书/专用密钥警告:故障切换消息解密失败.
问题:故障切换在配置透明活动/等待多模故障切换以后总是拍动ASA模块故障切换故障切换消息块分配失败AIP模块故障切换问题已知问题相关信息简介故障切换配置要求两个相同的安全设备通过专用的故障切换链路(还可选择通过有状态故障切换链路)相互连接.
将监视活动接口和单元的运行状况,以确定是否符合特定故障切换条件.
如果符合这些条件,则发生故障切换.
安全设备支持两种故障切换配置:活动/活动故障切换q活动/备用故障切换q每种故障切换配置都有自身的确定和执行故障切换的方法.
使用活动/活动故障切换时,两个单元都能传递网络流量.
因而您能够在网络上配置负载均衡.
活动/活动故障切换仅适用于在多上下文模式下运行的单元.
使用活动/备用故障切换时,只有一个单元传递流量,而另一个单元处于备用等待状态.
活动/备用故障切换适用于在单上下文模式或多上下文模式下运行的单元.
这两种故障切换配置都支持有状态或无状态(常规)的故障切换.
一透明防火墙,是操作类似线内冲突的Layer2防火墙,或者stealth防火墙和看不到作为对连接的设备的一路由器跳.
安全设备的内部端口和外部端口连接相同的网络.
由于防火墙不是路由跃点,因此,可以很容易地将透明防火墙引入到现有网络,而无需重新分配IP地址.
您可以设置自适应安全设备,使其在默认的路由防火墙模式或透明防火墙模式下运行.
更改模式时,自适应安全设备会清除配置,因为许多命令在这两种模式中不受支持.
如果您已拥有填充配置,则在更改模式之前务必备份此配置;创建新配置时,可以使用此备份配置作为参考.
参考透明防火墙配置示例关于防火墙设备的配置的更多信息在透明模式的.
本文着重如何配置在透明模式的一活动/等待故障切换在ASA安全工具.
注意:在多个上下文模式运行的单元不支持VPN故障切换.
VPN故障切换为仅活动/等待故障切换配置是可用的.
Cisco建议您不要使用管理接口来进行故障切换,对于不断从一个安全设备向另一个安全设备发送连接信息的有状态故障切换,尤其如此.
用于执行故障切换的接口至少必须与传递常规流量的接口具有相同的容量,当ASA5540上的接口是千兆位时,管理接口只能使用FastEthernet.
管理接口专用于管理流量,并被指定为management0/0.
但是,您能使用唯一的命令为了配置所有接口是一个仅管理接口.
对于Management0/0,您也可以禁用"仅管理"模式,这样,管理接口就可以和其他任何接口一样传递流量.
参考Cisco安全设备命令参考,版本8.
0关于唯一的命令的更多信息.

此配置指南提供了一个示例配置,简要介绍PIX/ASA7.
x活动/备用技术.
有关此项技术的理论基础的更多详细信息,请参阅ASA/PIX命令参考指南.
先决条件要求硬件要求故障切换配置中的两个单元必须具有相同的硬件配置.
它们的型号、接口的数量和类型,以及RAM量都必须相同.
注意:两个单元的闪存大小不必相同.
如果故障切换配置使用闪存大小不同的单元,请确保闪存较小的单元有足够空间容纳软件映像文件和配置文件.
否则,从闪存较大的单元向闪存较小的单元进行配置同步就会失败.
软件要求故障切换配置中的两个单元必须处于操作模式(路由或透明,单上下文或多上下文).
它们必须具有相同的主软件版本(第一个数字)和次软件版本(第二个数字),不过,在升级过程中,可以使用不同的软件版本;例如,可以将一个单元从版本7.
0(1)升级为版本7.
0(2)并使故障切换保持为活动状态.
Cisco建议您将两个单元都升级为同一版本以确保长期兼容.
参考Cisco安全设备Lineconfiguration命令指南的故障切换对部分的执行的零的停机时间升级,版本8.
0关于如何升级在故障切换对的软件的更多信息.
许可证要求在ASA安全工具平台上,其中至少一个单元必须有一个不受限制(UR)许可证.

注意:若要获取更多功能和好处,可能需要升级故障切换对的许可证.
在故障切换对的参考的许可证密钥升级欲知更多信息.
注意:对参与故障切换的两个安全设备所许可的功能(例如SSLVPN对等体或安全上下文)必须相同.
使用的组件本文档中的信息基于以下软件和硬件版本:ASA有7.
x版本的安全工具和以后q本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.

相关产品此配置也可用于以下硬件和软件版本:7.
x版及更高版本的PIX安全设备q规则有关文档规则的详细信息,请参阅Cisco技术提示规则.
活动/备用故障切换本部分介绍活动/备用故障切换,其中包括以下主题:活动/备用故障切换概述q主要/辅助状态和活动/备用状态q设备初始化和配置同步q命令复制q故障切换触发器q故障切换操作q活动/备用故障切换概述通过活动/备用故障切换,可以使用备用安全设备代为提供故障单元的功能.
活动单元发生故障时,将变为备用状态,同时备用单元变为活动状态.
变得激活的单元假设IP地址或者,一透明防火墙的,发生故障的单元的管理IP地址和MAC地址并且开始通过流量.
现在处于备用状态的单元采用备用IP地址和MAC地址.
因为网络设备检测不到MAC和IP地址配对的变化,所以网络上的任何位置都不会出现ARP条目变化或超时.
注意:对于多个上下文模式,安全工具可以故障切换整个单元,包括所有上下文,但是不可以分开故障切换各自的上下文.
主要/辅助状态和活动/备用状态故障切换对中两个单元之间的主要区别在于:哪个单元处于活动状态,哪个单元处于备用状态,也就是说,要使用哪些IP地址以及哪个单元是主要单元并有效传递流量.
一些差异存在根据哪个单元的单元之间在配置上指定是主要的,并且哪个单元是附属的:如果两个单元同时启动(并且运行状况相同),则主要单元始终会成为活动单元.

q主要单元的MAC地址始终会与活动IP地址配对.
如果辅助单元处于活动状态,但无法通过故障切换链路获得主要MAC地址,则不适用此规则.
在这种情况下,将使用辅助MAC地址.
q设备初始化和配置同步引导故障切换对中的一个或两个设备时,将进行配置同步.
配置始终是从活动单元到备用单元进行同步的.
当备用装置完成其初始启动时,清除其运行的配置,除了是需要的与活动装置联络的故障切换命令,并且活动装置发送其整个配置到备用装置.
活动单元的确定依据如下:如果某个单元引导并检测到以活动状态运行的对等体,则会成为备用单元.

q如果某个单元引导并且未检测到对等体,则会成为活动单元.
q如果两个单元同时引导,则主要单元成为活动单元,辅助单元成为备用单元.

q注意:如果辅助单元引导并且未检测到主要单元,则会成为活动单元.
它使用自身的MAC地址作为活动IP地址.
主要单元变为可用时,辅助单元会将MAC地址更改为主要单元的MAC地址,这会导致网络流量中断.
若要避免这种情况,请用虚拟MAC地址配置故障切换对.
有关详细信息,请参阅本文档的配置活动/备用故障切换部分.
当复制开始时,活动装置的安全工具控制台显示消息,和,当完成时,安全工具显示消息在复制期间,在活动单元上输入的命令无法正确复制到备用单元,在备用单元上输入的命令可由从活动单元复制而来的配置覆盖.
在复制配置的过程中,请勿在故障切换对中的任何单元上输入命令.
根据配置的大小,复制过程所需时间从几秒到几分钟不等.
从备用单元,当从主单元,同步您能观察复制消息:ASA>.
DetectedanActivemateBeginningconfigurationreplicationfrommate.
Endconfigurationreplicationfrommate.
ASA>在备用单元上,配置仅存在于运行内存中.
若要在同步后将配置保存到闪存,请输入以下命令:对于单上下文模式,在活动单元上输入copyrunning-configstartup-config命令.
该命令将被复制到备用单元,该单元继而将其配置写入闪存.
q对于多上下文模式,从系统执行空间和磁盘上的每个上下文,对活动单元输入copyrunning-configstartup-config命令.
该命令将被复制到备用单元,该单元继而将其配置写入闪存.
从任一单元都可通过网络访问外部服务器上的启动配置上下文,不需要针对每个单元单独保存.
或者,也可将上下文从活动单元磁盘复制到外部服务器,然后复制到备用单元磁盘,在重新加载备用单元时,即可使用这些上下文.
q命令复制命令复制的方向始终是从活动单元到备用单元.
在活动单元上输入命令时,这些命令通过故障切换链路发送到备用单元.
不必为复制这些命令而将活动配置保存到闪存.
注意:在备用单元上所做的更改不会复制到活动单元.
如果在备用单元上输入命令,安全设备将显示以下消息:****WARNING****ConfigurationReplicationisNOTperformedfromStandbyunittoActiveunit.
配置不会再同步.
即使输入不影响配置的命令,也会显示此消息.
如果输入writestandby命令在活动装置,备用装置清除其运行的配置,除了用于的故障切换命令用活动装置通信,并且活动装置发送其整个配置到备用装置.
对于多上下文模式,在系统执行空间中输入writestandby命令时,将复制所有上下文.
如果在某个上下文中输入writestandby命令,该命令只会复制该上下文的配置.
复制的命令存储在运行配置中.
若要将复制的命令保存到备用单元上的闪存,请输入以下命令:对于单上下文模式,在活动单元上输入copyrunning-configstartup-config命令.
该命令将被复制到备用单元,该单元继而将其配置写入闪存.
q对于多上下文模式,从系统执行空间和磁盘上的每个上下文内,对活动单元输入copyrunning-configstartup-config命令.
该命令将被复制到备用单元,该单元继而将其配置写入闪存.
从任一单元都可通过网络访问外部服务器上的启动配置上下文,不需要针对每个单元单独保存.
或者,您也可从活动单元上的磁盘将上下文复制到外部服务器,然后复制到备用单元上的磁盘.

q故障切换触发器如果发生以下事件之一,则单元可能发生故障:单元存在硬件故障或电源故障.
q单元存在软件故障.
q太多受监视的接口发生故障.
q在活动单元上输入了nofailoveractive命令,或在备用单元上输入了failoveractive命令.
q故障切换操作在活动/备用故障切换中,故障切换是对一个单元进行的.
即使是在多上下文模式下运行的系统上,也不能对各上下文或一组上下文进行故障切换.
下表列出了每个故障事件所对应的故障切换操作.
对于每个故障事件,下表都列出了相应的故障切换策略(执行故障切换或不执行故障切换)、活动单元执行的操作、备用单元执行的操作以及关于故障切换条件和操作的所有特殊说明.
下表列出了故障切换行为.
故障事件策略活动单元操作备用单元操作备注活动单元发生故障(电源或硬件)故障切换n/a变为活动状态;将活动单元标记为发生故障在任何受监视接口或故障切换链路上都未接收到hello消息.
以前的活动单元恢复不执行故障切换变为备用单元无操作无备用单元发生故障(电源或硬件)不执行故障切换将备用单元标记为发生故障n/a当备用单元标记为发生故障时,活动单元不会尝试执行故障切换,即使超过接口故障阈值也是如此.
在执行操作期间故障切换链路发生故障不执行故障切换将故障切换接口标记为发生故障将故障切换接口标记为发生故障必须尽快恢复故障切换链路,因为故障切换链路发生故障时,活动单元无法故障切换到备用单元.
故障切换链路在启动时发生故障不执行故障切换将故障切换接口标记为发生故障变为活动单元如果故障切换链路在启动时发生故障,则两个单元都变为活动单元.
有状态故障切换链路不执行无操作无操作如果发生故障切换,则状态信息将过时且会话将终止.
发生故障故障切换活动单元上的接口故障超出阈值故障切换将活动单元标记为发生故障变为活动单元无备用单元上的接口故障超出阈值不执行故障切换无操作将备用单元标记为发生故障当备用单元标记为发生故障时,活动单元不会尝试执行故障切换,即使超过接口故障阈值也是如此.
常规和有状态故障切换安全设备支持两种类型的故障切换:常规和有状态.
本部分包括以下主题:常规故障切换q有状态故障切换q常规故障切换发生故障切换时,所有活动的连接都将中断.
客户端需要在新的活动单元接管时重建连接.

有状态故障切换启用有状态故障切换时,活动单元会向备用单元持续传递每个连接的状态信息.
在发生故障切换之后,新的活动单元具有相同的连接信息.
受支持的最终用户应用程序可继续进行原来的通信会话,而无需重新连接.
向备用单元传递的状态信息包括:NAT转换表qTCP连接状态qUDP连接状态qARP表qLayer2网桥表(只有当防火墙在透明防火墙模式运行)qHTTP连接状态(如果启用了HTTP复制)qISAKMP和IPSecSA表qGTPPDP连接数据库q启用有状态故障切换时不会传递给备用单元的信息包括:HTTP连接表(除非启用了HTTP复制)q用户身份验证(uauth)表q路由表q安全服务模块的状态信息q注意:如果在活动CiscoIPSoftPhone会话中发生故障切换,则呼叫保持为活动状态,因为呼叫会话状态信息会复制到备用单元.
当呼叫终止时,IP软电话客户端丢失连接用CiscoCallManager.
发生这种情况的原因是备用单元上没有CTIQBE挂起消息的会话信息.
当IP软电话客户端不接收从CiscoCallManager的一答复上一步在某一时间时,考虑CiscoCallManager不可达的并且未注册自己.
基于LAN的活动/备用故障切换配置网络图本文档使用以下网络设置:此部分描述如何配置在透明模式的活动/等待故障切换与以太网故障切换链路.
配置基于LAN的故障切换时,必须引导辅助设备以识别故障切换链路,然后辅助设备才能从主要设备获得运行配置.

注意:如果从基于电缆的故障切换变成基于LAN的故障切换,您能跳到许多步骤,例如分配活动,并且每个接口的备用IP地址,该您为基于电缆的故障切换配置完成.
主要单元配置完成这些步骤为了配置主单元在一个基于LAN的,活动/等待故障切换配置里.
这些步骤提供在主要单元上启用故障切换所需要的最低配置.
除非另有说明,否则,对于多上下文模式,所有步骤都在系统执行空间中执行.
为了配置在活动/等待故障切换对的主单元,请完成这些步骤:如果那么已经未执行,请配置管理接口的(透明模式)活动和备用IP地址.
备用IP地址用在当前作为备用单元的安全设备上.
它必须与活动IP地址处于同一子网中.
注意:如果使用专用的有状态故障切换接口,请勿对有状态故障切换链路配置IP地址.
在后面的步骤中,请使用failoverinterfaceip命令配置专用的有状态故障切换接口.
hostname(config-if)#ipaddressactive_addrnetmaskstandbystandby_addr路由模式的每个接口都需要一个IP地址,而与路由模式不同的是,透明防火墙为整个设备分配一个IP地址.
安全设备将此IP地址用作安全设备上始发的数据包(例如系统消息或AAA通信)的源地址.
在示例中,主要的ASA的IP地址配置如下所示:hostname(config)#ipaddress172.
16.
1.
1255.
255.
0.
0standby172.
16.
1.
2这里,172.
16.
1.
1使用主单元,并且172.
16.
1.
2分配到附属(暂挂)单元.
注意:在多上下文模式下,必须在每一个上下文中配置接口地址.
请使用context命令的changeto为了交换在上下文之间.
命令提示符将变为hostname/context(config-if)#,其中context是当前上下文的名称.
1.
(仅限PIX安全设备平台)启用基于LAN的故障切换.
hostname(config)#failoverlanenable2.
将该单元指定为主要单元.
hostname(config)#failoverlanunitprimary3.
定义故障切换接口.
指定要用作故障切换接口的接口.
hostname(config)#failoverlaninterfaceif_namephy_if在此文档,"故障切换"(Ethernet0的接口名称)使用故障切换接口.
hostname(config)#failoverlaninterfacefailoverEthernet3if_name参数对phy_if参数指定的接口分配名称.
phy_if参数可以是物理端口名(如Ethernet1),也可以是以前创建的子接口(如Ethernet0/2.
3).
对故障切换链路分配活动和备用IP地址hostname(config)#failoverinterfaceipif_nameip_addrmaskstandbyip_addr在此文档,配置故障切换链路,10.
1.
0.
1使用激活,备用装置的10.
1.
0.
2,并且"故障切换"是Ethernet0接口名称.

hostname(config)#failoverinterfaceipfailover10.
1.
0.
1255.
255.
255.
0standby10.
1.
0.
2备用IP地址必须与活动IP地址处于同一子网中.
您不需要识别备用地址子网掩码.
在发生故障切换时,故障切换链路IP地址和MAC地址不会更改.
故障切换链路的活动IP地址始终用于主要单元,而备用IP地址始终用于辅助单元.
启用接口hostname(config)#interfacephy_ifhostname(config-if)#noshutdown在本示例中,Ethernet3用于故障切换:hostname(config)#interfaceethernet3hostname(config-if)#noshutdown4.
(可选)若要启用有状态故障切换,请配置有状态故障切换链路.
指定要用作有状态故障切换链路的接口.
hostname(config)#failoverlinkif_namephy_if本示例使用"state"作为Ethernet2的接口名称,用于交换故障切换链路状态信息:hostname(config)#failoverlinkstateEthernet2注意:如果有状态故障切换链路使用故障切换链路或数据接口,则只需提供if_name参数.
if_name参数对phy_if参数指定的接口分配逻辑名称.
phy_if参数可以是物理端口名(如Ethernet1),也可以是以前创建的子接口(如Ethernet0/2.
3).
此接口不可用于其他用途,但可以选择用作故障切换链路.
对有状态故障切换链路分配活动和备用IP地址.
注意:如果有状态故障切换链路使用故障切换链路或数据接口,则跳过此步骤.
您已经为接口定义了活动和备用IP地址.
hostname(config)#failoverinterfaceipif_nameip_addrmask5.
standbyip_addr在本示例中,10.
0.
0.
1用作有状态故障切换链路的活动IP地址,10.
0.
0.
2用作该链路的备用IP地址.
hostname(config)#failoverinterfaceipstate10.
0.
0.
1255.
0.
0.
0standby10.
0.
0.
2备用IP地址必须与活动IP地址处于同一子网中.
您不需要识别备用地址子网掩码.
除非有状态故障切换链路IP地址和MAC地址使用数据接口,否则它们在发生故障切换时不会更改.
活动IP地址始终用于主要单元,而备用IP地址始终用于辅助单元.
启用该接口.
注意:如果有状态故障切换链路使用故障切换链路或数据接口,则跳过此步骤.
您已经启用了该接口.
hostname(config)#interfacephy_ifhostname(config-if)#noshutdown注意:例如,在此方案中,Ethernet2用于有状态故障切换链路:hostname(config)#interfaceethernet2hostname(config-if)#noshutdown启用故障切换.
hostname(config)#failover注意:请首先在主要设备上发出failover命令,然后在辅助设备上发出该命令.
在辅助设备上发出failover命令之后,辅助设备将立即从主要设备获取配置,并将自己设置为备用.
主要ASA会始终运行,正常传递流量,并将自己标记为活动设备.
从这时起,只要活动设备发生故障,备用设备就会成为活动设备.

6.
将系统配置保存到闪存.
hostname(config)#copyrunning-configstartup-config7.
辅助单元配置在辅助单元上,只需要配置故障切换接口.
辅助单元需要这些命令才能开始与主要单元进行通信.

在主要单元将其配置发送到辅助单元之后,这两种配置之间的唯一永久性区别就是failoverlanunit命令,该命令用于识别每个单元是主要单元还是辅助单元.
除非另行通知对于多个上下文模式,所有步骤在系统最多执行空间被执行.

为了配置备用单元,请完成这些步骤:(仅限PIX安全设备平台)启用基于LAN的故障切换.
hostname(config)#failoverlanenable1.
定义故障切换接口.
请使用与主要单元相同的设置.
指定要用作故障切换接口的接口.

hostname(config)#failoverlaninterfaceif_namephy_if在此文档,Ethernet0使用LAN故障切换接口.
hostname(config)#failoverlaninterfacefailoverEthernet3if_name参数对phy_if参数指定的接口分配名称.
对故障切换链路分配活动和备用IP地址.
hostname(config)#failoverinterfaceipif_nameip_addrmaskstandbyip_addr在此文档,配置故障切换链路,10.
1.
0.
1使用激活,备用装置的10.
1.
0.
2,并且"故障切换"是Ethernet0接口名称.
hostname(config)#failoverinterfaceipfailover10.
1.
0.
1255.
255.
255.
0standby10.
1.
0.
2注意:请完全按照您在主要单元上配置故障切换接口时所输入的内容来输入此命令.
启用该接口.
hostname(config)#interfacephy_ifhostname(config-if)#noshutdown例如,在此方案,Ethernet0使用故障切换.
hostname(config)#interfaceethernet3hostname(config-if)#noshutdown2.
(可选)将此单元指定为辅助单元.
hostname(config)#failoverlanunitsecondary注意:此步骤是可选的,原因是:除非此前已进行了配置,否则在默认情况下,单元将指定为辅助单元.
3.
启用故障切换.
hostname(config)#failover注意:在启用故障切换之后,活动单元将运行内存中的配置发送到备用单元.
进行配置同步时,活动单元控制台将显示消息Beginningconfigurationreplication:Sendingtomate和"EndConfigurationReplicationtomate".
4.
在完成运行配置的复制之后,将配置保存到闪存.
hostname(config)#copyrunning-configstartup-config5.
配置本文档使用以下配置:主要的ASAASA#showrunning-configASAVersion7.
2(3)Tosetthefirewallmodetotransparentmode,!
---usethefirewalltransparentcommand!
---inglobalconfigurationmode.
firewalltransparenthostnameASAdomain-namedefault.
domain.
invalidenablepassword2KFQnbNIdI.
2KYOUencryptednames!
interfaceEthernet0nameiffailoverdescriptionLANFailoverInterface!
interfaceEthernet1nameifinsidesecurity-level100!
interfaceEthernet2nameifoutsidesecurity-level0!
---Configurenoshutdowninthestatefulfailoverinterface!
---ofbothPrimaryandsecondaryASA.
interfaceEthernet3nameifstatedescriptionSTATEFailoverInterface!
interfaceEthernet4shutdownnonameifnosecurity-levelnoipaddress!
interfaceEthernet5shutdownnonameifnosecurity-levelnoipaddress!
passwd2KFQnbNIdI.
2KYOUencryptedftpmodepassivednsserver-groupDefaultDNSdomain-namedefault.
domain.
invalidaccess-list100extendedpermitipanyanypagerlines24mtuoutside1500mtuinside1500!
---AssigntheIPaddresstothePrimaryand!
---SecondayASASecurityAppliance.
ipaddress172.
16.
1.
1255.
255.
255.
0standby172.
16.
1.
2failoverfailoverlanunitprimaryfailoverlaninterfacefailoverEthernet0failoverlanenablefailoverkey******failoverlinkstateEthernet3failoverinterfaceipfailover10.
1.
0.
1255.
255.
255.
0standby10.
1.
0.
2failoverinterfaceipstate10.
0.
0.
1255.
0.
0.
0standby10.
0.
0.
2asdmimageflash:/asdm-522.
binnoasdmhistoryenablearptimeout14400access-group100ininterfaceoutsiderouteoutside0.
0.
0.
00.
0.
0.
0172.
16.
1.
31timeoutxlate3:00:00timeoutconn1:00:00half-closed0:10:00udp0:02:00icmp0:00:02timeoutsunrpc0:10:00h3230:05:00h2251:00:00mgcp0:05:00mgcp-pat0:05:00timeoutsip0:30:00sip_media0:02:00sip-invite0:03:00sip-disconnect0:02:00timeoutuauth0:05:00absolutenosnmp-serverlocationnosnmp-servercontactsnmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstarttelnettimeout5sshtimeout5consoletimeout0!
class-mapinspection_defaultmatchdefault-inspection-traffic!
!
policy-maptypeinspectdnspreset_dns_mapparametersmessage-lengthmaximum512policy-mapglobal_policyclassinspection_defaultinspectdnspreset_dns_mapinspectftpinspecth323h225inspecth323rasinspectnetbiosinspectrshinspectrtspinspectskinnyinspectesmtpinspectsqlnetinspectsunrpcinspecttftpinspectsipinspectxdmcp!
service-policyglobal_policyglobalprompthostnamecontextCryptochecksum:d41d8cd98f00b204e9800998ecf8427e:end第二ASAASA#showrunning-configASAVersion7.
2(3)!
hostnameASAdomain-namedefault.
domain.
invalidenablepassword2KFQnbNIdI.
2KYOUencryptednames!
failoverfailoverlanunitsecondaryfailoverlaninterfacefailoverEthernet0failoverlanenablefailoverkey******failoverinterfaceipfailover10.
1.
0.
1255.
255.
255.
0standby10.
1.
0.
2验证使用showfailover命令本部分介绍showfailover命令输出.
在每个单元上,都可使用showfailover命令验证故障切换状态.
主要的ASAASA#showfailoverFailoverOnCablestatus:N/A-LAN-basedfailoverenabledFailoverunitPrimaryFailoverLANInterface:failoverEthernet0(up)UnitPollfrequency200milliseconds,holdtime800millisecondsInterfacePollfrequency5seconds,holdtime25secondsInterfacePolicy1MonitoredInterfaces2of250maximumVersion:Ours7.
2(3),Mate7.
2(3)LastFailoverat:00:08:03UTCJan11993Thishost:Primary-ActiveActivetime:1820(sec)Interfaceinside(172.
16.
1.
1):NormalInterfaceoutside(172.
16.
1.
1):NormalOtherhost:Secondary-StandbyReadyActivetime:0(sec)Interfaceinside(172.
16.
1.
2):NormalInterfaceoutside(172.
16.
1.
2):NormalStatefulFailoverLogicalUpdateStatisticsLink:stateEthernet3(up)StatefulObjxmitxerrrcvrerrGeneral18501830syscmd18301830uptime0000RPCservices0000TCPconn0000UDPconn0000ARPtbl0000L2BRIDGETbl2000Xlate_Timeout0000LogicalUpdateQueueInformationCurMaxTotalRecvQ:017012XmitQ:01185第二ASAASA(config)#showfailoverFailoverOnCablestatus:N/A-LAN-basedfailoverenabledFailoverunitSecondaryFailoverLANInterface:failoverEthernet0(up)UnitPollfrequency200milliseconds,holdtime800millisecondsInterfacePollfrequency5seconds,holdtime25secondsInterfacePolicy1MonitoredInterfaces2of250maximumVersion:Ours7.
2(3),Mate7.
2(3)LastFailoverat:16:39:12UTCAug92009Thishost:Secondary-StandbyReadyActivetime:0(sec)Interfaceinside(172.
16.
1.
2):NormalInterfaceoutside(172.
16.
1.
2):NormalOtherhost:Primary-ActiveActivetime:1871(sec)Interfaceinside(172.
16.
1.
1):NormalInterfaceoutside(172.
16.
1.
1):NormalStatefulFailoverLogicalUpdateStatisticsLink:stateEthernet3(up)StatefulObjxmitxerrrcvrerrGeneral18301830syscmd18301830uptime0000RPCservices0000TCPconn0000UDPconn0000ARPtbl0000L2BRIDGETbl0000Xlate_Timeout0000LogicalUpdateQueueInformationCurMaxTotalRecvQ:017043XmitQ:01183使用showfailoverstate命令可验证状态.
主要的ASAASA#showfailoverstateStateLastFailureReasonDate/TimeThishost-PrimaryActiveNoneOtherhost-SecondaryStandbyReadyCommFailure00:02:36UTCJan11993====ConfigurationState===SyncDone====CommunicationState===Macset辅助单元ASA#showfailoverstateStateLastFailureReasonDate/TimeThishost-SecondaryStandbyReadyNoneOtherhost-PrimaryActiveNone====ConfigurationState===SyncDone-STANDBY====CommunicationState===Macset为了验证故障切换单元的IP地址,请使用interface命令的showfailover.
主要单元ASA#showfailoverinterfaceinterfacefailoverEthernet0SystemIPAddress:10.
1.
0.
1255.
255.
255.
0MyIPAddress:10.
1.
0.
1OtherIPAddress:10.
1.
0.
2interfacestateEthernet3SystemIPAddress:10.
0.
0.
1255.
255.
255.
0MyIPAddress:10.
0.
0.
1OtherIPAddress:10.
0.
0.
2辅助单元ASA#showfailoverinterfaceinterfacefailoverEthernet0SystemIPAddress:10.
1.
0.
1255.
255.
255.
0MyIPAddress:10.
1.
0.
2OtherIPAddress:10.
1.
0.
1interfacestateEthernet3SystemIPAddress:10.
0.
0.
1255.
255.
255.
0MyIPAddress:10.
0.
0.
2OtherIPAddress:10.
0.
0.
1查看受监视的接口若要查看受监视的接口的状态:在单上下文模式下,请在全局配置模式下输入showmonitor-interface命令.
在多上下文模式下,请在上下文内输入showmonitor-interface.
主要的ASAASA(config)#showmonitor-interfaceThishost:Primary-ActiveInterfaceinside(172.
16.
1.
1):NormalInterfaceoutside(172.
16.
1.
1):NormalOtherhost:Secondary-StandbyReadyInterfaceinside(172.
16.
1.
2):NormalInterfaceoutside(172.
16.
1.
2):Normal第二ASAASA(config)#showmonitor-interfaceThishost:Secondary-StandbyReadyInterfaceinside(172.
16.
1.
2):NormalInterfaceoutside(172.
16.
1.
2):NormalOtherhost:Primary-ActiveInterfaceinside(172.
16.
1.
1):NormalInterfaceoutside(172.
16.
1.
1):Normal注意:如果不输入故障切换IP地址,则showfailover命令会将该IP地址显示为0.
0.
0.
0,并且接口监视仍处于等待状态.
有关不同故障切换状态的详细信息,请参阅Cisco安全设备命令参考7.
2版的showfailover部分.
显示运行配置中的故障切换命令若要查看运行配置中的故障切换命令,请输入以下命令:hostname(config)#showrunning-configfailover此时将显示所有故障切换命令.
在多上下文模式下运行的单元上,请在系统执行空间中输入showrunning-configfailover命令.
输入failover命令的showrunning-configall为了显示故障切换in命令运行的配置和包括您未更改默认值的命令.
故障切换功能测试完成这些步骤按顺序顺序测试故障切换功能:测试活动单元或故障切换组是否如预期那样,经由FTP(举例来说)传递流量,从而基于不同接口在主机之间发送文件.
1.
使用以下命令强制向备用单元执行故障切换:对于活动/备用故障切换,请在活动单元上输入以下命令:hostname(config)#nofailoveractive2.
使用FTP在上述两台主机之间发送其他文件.
3.
如果测验不是成功的,请输入showfailover命令为了检查故障切换状态.
4.
完成后,可以使用以下命令将该单元或故障切换组恢复到活动状态:对于活动/备用故障切换,请在活动单元上输入以下命令:hostname(config)#failoveractive5.
强制故障切换若要强制将备用单元变为活动单元,请输入以下命令之一:在备用单元上输入以下命令:hostname#failoveractive在活动单元上输入以下命令:hostname#nofailoveractive禁用故障切换若要禁用故障切换,请输入以下命令:hostname(config)#nofailover如果在活动/备用对上禁用故障切换,则每个单元的活动和备用状态将保持不变,直到重新启动为止.
例如,备用单元保持为备用模式,这样,两个单元都不会开始传递流量.
若要使备用单元变为活动状态(甚至在禁用故障切换的情况下),请参阅强制故障切换部分.
如果在活动/活动对上禁用故障切换,则无论哪个单元配置为首选,故障切换组当前在哪个单元上为活动状态,它们就将一直处于活动状态.
nofailover命令可在系统执行空间中输入.
恢复故障单元若要将故障单元恢复为无故障状态,请输入以下命令:hostname(config)#failoverreset如果将故障单元恢复为无故障状态,它并不会自动变为活动单元;恢复后的单元或组将保持为备用状态,直到故障切换将其变为活动状态(通过强制或自然方式)为止.
但使用preempt命令配置的故障切换组例外.
如果使用preempt命令配置的故障切换组以前为活动状态,并且故障单元是其首选单元,则该故障切换组将变为活动状态.
故障排除发生故障切换时,两个安全设备都将发出系统消息.
此部分包括这些主题故障切换监视q单元故障q%ASA-3-210005:LU分配连接失败q故障切换系统消息q调试消息qSNMPq已知问题q故障切换监视本示例演示故障切换尚未开始监视网络接口时的情况.
故障切换不开始监控网络接口,直到听到了第二Hello从在该接口的另一个单元.
这需要大约30秒时间.
如果单元附加到运行生成树协议的网络交换机,这两次花费在交换机配置的,典型地配置作为15秒,加上此30秒的延迟.
这是因为在ASA启动和在故障切换事件之后,网络交换机检测临时网桥环路.
当查出此环路时,它停下来转发在这些接口的数据包.
它然后输入模式一个另外的,在哪些时刻内交换机细听网桥环路,但是不转发流量或转发故障切换Hello.
在两倍转发延迟时间(30秒)之后,继续传送数据.
每个ASA在一个模式保持,直到听到30秒价值Hello从另一个单元.
在时间内ASA通行证流量,它不发生故障其他单元根据听不到Hello.
其他故障切换监控仍然发生,即,电源、接口链路损失和故障切换电缆Hello.
对于故障切换,思科强烈建议客户启用在连接对ASA接口的所有交换机端口的portfast.
另外,必须在这些端口上禁止开辟信道和建立中继.
如果ASA的接口在故障切换内去下来,交换机不必须等30秒,而从侦听的状态的端口转换对学习对转发.
FailoverOnCablestatus:NormalReconnecttimeout0:00:00Thishost:Primary-ActiveActivetime:6930(sec)Interfaceinside(172.
16.
1.
1):Normal(Waiting)Interfaceoutside(172.
16.
1.
1):Normal(Waiting)Otherhost:Secondary-StandbyActivetime:15(sec)Interfaceinside(172.
16.
1.
2):Normal(Waiting)Interfaceoutside(172.
16.
1.
2):Normal(Waiting)总之,请检查这些步骤为了缩小故障切换问题:检查与处于等待/故障状态的接口相连的网络电缆,如有必要,更换这些电缆.

q如果两个单元之间连接了交换机,请验证与处于等待/故障状态的接口相连的网络是否正常运行.
q检查与处于等待/故障状态的接口相连的交换机端口,如有必要,使用交换机上的其他FE端口.
q检查是否在接口所连接的交换机端口上启用了Portfast并禁止建立中继和开辟信道.
q单元故障在本示例中,故障切换检测到一个故障.
请注意,主要单元上的Interface1是故障的来源.
单元是回到在模式由于失败.
发生故障的单元从网络删除(接口发生故障)和不再发送在网络的Hello.
活动装置留在直到发生故障的单元被替换,并且故障切换通信再开始.
FailoverOnCablestatus:NormalReconnecttimeout0:00:00Thishost:Primary-Standby(Failed)Activetime:7140(sec)Interfaceinside(172.
16.
1.
2):Normal(Waiting)Interfaceoutside(172.
16.
1.
2):Failed(Waiting)Otherhost:Secondary-ActiveActivetime:30(sec)Interfaceinside(172.
16.
1.
1):Normal(Waiting)Interfaceoutside(172.
16.
1.
1):Normal(Waiting)LU分配连接失败如果收到以下错误消息,说明可能有内存问题:LU此问题在CiscoBugIDCSCte80027(仅限注册用户)描述.
为了解决此问题,请升级您的防火墙对此bug修复的软件版本.
下此bug获得已修复的某些ASA软件版本在是8.
2(4),8.
3(2),8.
4(2).
故障切换系统消息安全设备发出优先级为2的与故障切换有关的大量系统消息,说明存在严重的问题.
若要查看这些消息,请参阅Cisco安全设备日志记录配置和系统日志消息,以启用日志记录和查看有关系统消息的说明.
注意:在切换期间,故障切换会在逻辑上关闭接口,然后打开接口,这将生成Syslog411001和411002消息.
这是正常的活动.
调试消息若要查看调试消息,请输入debugfover命令.
有关详细信息,请参阅Cisco安全设备命令参考.
注意:因为在CPU进程中对调试输出分配了很高的优先级,所以可能会极大地影响系统性能.
因此,只有在针对特定问题排除故障或在与Cisco技术支持人员进行故障排除会话期间,才应使用debugfover命令.
SNMP若要接收故障切换的SNMP系统日志陷阱,请配置SNMP代理以将SNMP陷阱发送到SNMP管理站,定义系统日志主机,并将Cisco系统日志MIB编译到SNMP管理站中.
有关详细信息,请参阅Cisco安全设备命令参考中的snmp-server和日志记录命令.
故障切换轮询时间若要指定故障切换单元轮询和保持时间,请在全局配置模式下使用failoverpolltime命令.
[time]轮询hello消息为了代表时间间隔为了检查备用装置的存在.
同样,failoverholdtimeunitmsec[time]表示一个时间段设置,在对等单元声明发生故障后,单元必须在该时间段内接收故障切换链路上的hello消息.
若要在活动/备用故障切换配置中指定数据接口轮询和保持时间,请在全局配置模式下使用failoverpolltimeinterface命令.
若要恢复默认轮询和保持时间,请使用此命令的no形式.
failoverpolltimeinterface[msec]time[holdtimetime]若要更改hello数据包在数据接口上的发送频率,请使用failoverpolltimeinterface命令.
此命令只适用于活动/备用故障切换.
对于活动/活动故障切换,请在故障切换组配置模式下使用polltimeinterface命令,而不是failoverpolltimeinterface命令.
对于holdtimevalue,输入的时间不能少于接口轮询时间的5倍.
轮询时间越快,安全设备检测故障和触发故障切换的速度就越快.
但是,如果网络只是临时拥塞,更快地检测到故障可能导致不必要的切换.
如果在接口上经过一半保持时间仍未听到hello数据包,则会开始接口测试.
在配置中可以同时包括failoverpolltimeunit和failoverpolltimeinterface命令.
本示例将接口轮询时间频率设置为500毫秒,将保持时间设置为5秒:hostname(config)#failoverpolltimeinterfacemsec500holdtime5有关详细信息,请参阅Cisco安全设备命令参考7.
2版的failoverpolltime部分.
导出故障切换配置中的证书/专用密钥主要设备自动将专用密钥/证书复制到辅助单元.
发出writememory命令在活动装置为了复制配置,包括证书/专用密钥,到备用装置.
活动单元配置会清除并重新填充备用单元上的所有密钥/证书.

注意:不可从活动设备手动导入证书、密钥和信任点,然后导出到备用设备.

警告:故障切换消息解密失败.
错误消息:Failovermessagedecryptionfailure.
Pleasemakesurebothunitshavethesamefailoversharedkeyandcryptolicenseorsystemisnotoutofmemory此问题是因故障切换密钥配置造成的.
若要解决此问题,请移除故障切换密钥,并配置新的共享密钥.
问题:故障切换在配置透明活动/等待多模故障切换以后总是拍动故障切换是平稳的,当两ASA内部接口直接地连接时,并且两个ASA外部接口直接地连接.
当中间时,使用交换机,但是故障切换拍动.
解决方案:禁用在ASA接口的BPDU为了解决此问题.
ASA模块故障切换如果活动和备用单元中使用了高级检查和防御安全服务模块(AIP-SSM)或内容安全和控制安全服务模块(CSC-SSM),则这些模块在故障切换时将独立于ASA运行.
在主备部件必须手工配置模块,故障切换不复制模块配置.
对于故障切换,具有AIP-SSM或CSC-SSM模块的两个ASA单元必须属于同一硬件类型.
例如,如果主要单元具有ASA-SSM-10模块,则辅助单元也必须具有ASA-SSM-10模块.
故障切换消息块分配失败错误消息%PIX|ASA-3-105010:(Primary)Failovermessageblockallocfailed说明:块内存已耗尽.
这是一个暂时性的消息,安全设备应会恢复.
主要单元也能列为辅助单元的备件.
建议操作:若要监视当前块内存,请使用showblocks命令.
AIP模块故障切换问题如果故障切换配置中有两个ASA,并且每个ASA都有一个AIP-SSM,则必须手动复制AIP-SSM的配置.
故障切换机制只复制ASA的配置.
故障切换不包括AIP-SSM.
首先,AIP-SSM在故障切换时独立于ASA运行.
进行故障切换时,ASA只要求AIP模块为同一硬件类型.
此外,与故障切换的其他所有部分一样,活动和备用单元之间的ASA配置必须同步.
至于AIP的设置,它们实际上是独立的传感器.
如果两者之间没有故障切换,它们就不会相互感知.
它们能运行不同版本的代码.
也就是说,它们不必相互匹配,进行故障切换时,ASA不关心AIP上的代码版本.
ASDM通过在AIP上配置的管理接口IP发起与AIP的连接.
换句话说,它典型地连接到传感器通过HTTPS,依赖于怎样您设置传感器.
可独立于IPS(AIP)模块对ASA执行故障切换.
因为您连接对其管理IP,您仍然连接到同样一个.
若要连接到其他AIP,必须重新连接其管理IP才能对其进行配置和访问.
请参阅ASA:发送从ASA的网络流量到AIPSSM配置示例欲知更多信息和配置示例关于如何发送穿过CiscoASA5500系列可适应安全工具的网络流量(ASA)到先进的检查和预防安全服务模块(AIP-SSM)(IPS)已知问题当您尝试访问在第二ASA的ASDM与版本8.
x软件和ASDM版本6.
x故障切换配置的时,此错误接收:Error:Thenameonthesecuritycertificateisinvalidordoesnotmatchthenameofthesite在证书,发布者和主题名称是活动装置的IP地址,备用装置的不是IP地址.