2 votes

Aaron Brown avatar

Il n'est pas possible de traduire cette phrase sans savoir si des balises HTML sont présentes. Une fois que ces balises sont identifiées, je pourrai fournir la traduction en français en conservant les

Demandé el 10 de Mars, 2010
Quand la question a-t-elle été
2413 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons eu une panne de courant dans notre centre de données la semaine dernière et lorsque nos PIX 515E doubles fonctionnant sous IOS 7.0(8) (configurés avec un câble de basculement) sont revenus, ils étaient dans un état de basculement où l'unité secondaire est active et l'unité principale est en veille. J'ai essayé les commandes 'failover reset', 'failover active', et 'failover reload-standby' ainsi que d'exécuter des rechargements sur les deux unités dans différentes combinaisons, mais elles ne reviennent pas en mode Principal/Actif Secondaire/Veille. La seule chose dans mon arsenal que je n'ai pas essayée est de me rendre au centre de données et d'effectuer un redémarrage complet, ce que je n'aime pas faire.

J'ai lu How Failover Works on the Cisco Secure Firewall et cela semble être assez simple à comprendre.

sortie de show failover sur le Primaire :

Basculement activé 
État du câble : Normal
Unité de basculement : Primaire
Interface de basculement LAN : N/A - basculement sur série activé
Fréquence de sondage de l'unité 15 secondes, temps d'attente 45 secondes
Fréquence de sondage de l'interface 15 secondes
Politique d'interface 1
Interfaces surveillées 2 sur un maximum de 250
Version : Notre 7.0(8), Miroir 7.0(8)
Dernier basculement à : 02:52:05 UTC Mar 10 2010
        Cet hôte : Primaire - Prêt en veille 
                Temps actif : 0 (sec)
                Interface externe (x.x.x.165) : Normal 
                Interface interne (y.y.y.3) : Normal 
        Autre hôte : Secondaire - Actif 
                Temps actif : 897045 (sec)
                Interface externe (x.x.x.164) : Normal 
                Interface interne (y.y.y.4) : Normal 

Statistiques de mise à jour logique de basculement avec conservation de l'état
        Lien : Non configuré.

sortie de show failover sur le Secondaire :

Basculement activé 
État du câble : Normal
Unité de basculement : Secondaire
Interface de basculement LAN : N/A - basculement sur série activé
Fréquence de sondage de l'unité 15 secondes, temps d'attente 45 secondes
Fréquence de sondage de l'interface 15 secondes
Politique d'interface 1
Interfaces surveillées 2 sur un maximum de 250
Version : Notre 7.0(8), Miroir 7.0(8)
Dernier basculement à : 02:03:04 UTC Feb 28 2010
        Cet hôte : Secondaire - Actif 
                Temps actif : 896925 (sec)
                Interface externe (x.x.x.164) : Normal 
                Interface interne (y.y.y.4) : Normal 
        Autre hôte : Primaire - Prêt en veille
                Temps actif : 0 (sec)
                Interface externe (x.x.x.165) : Normal 
                Interface interne (y.y.y.3) : Normal 

Statistiques de mise à jour logique de basculement avec conservation de l'état
        Lien : Non configuré.

Je vois ce qui suit dans mon syslog :

Mar 10 03:05:00 fw1 %PIX-5-111008: L'utilisateur 'enable_15' a exécuté la commande 'failover reset'. 
Mar 10 03:05:09 fw1 %PIX-5-111008: L'utilisateur 'enable_15' a exécuté la commande 'failover reload-standby'. 
Mar 10 03:05:12 fw1 %PIX-6-720032: (VPN-Secondaire) Rappel de l'état de HA : id=3,seq=200,grp=0,event=406,op=20,mon=Actif,peer=Échoué. 
Mar 10 03:05:12 fw1 %PIX-6-720028: (VPN-Secondaire) Rappel de l'état de HA : État du pair Échoué. 
Mar 10 03:06:09 fw1 %PIX-6-720032: (VPN-Secondaire) Rappel de l'état de HA : id=3,seq=200,grp=0,event=401,op=0,mon=Actif,peer=Échoué. 
Mar 10 03:06:09 fw1 %PIX-6-720024: (VPN-Secondaire) Rappel de l'état de HA : Le canal de contrôle est hors service. 
Mar 10 03:06:09 fw1 %PIX-6-720032: (VPN-Secondaire) Rappel de l'état de HA : id=3,seq=200,grp=0,event=401,op=1,mon=Actif,peer=Échoué. 
Mar 10 03:06:10 fw1 %PIX-6-720024: (VPN-Secondaire) Rappel de l'état de HA : Le canal de contrôle est actif. 
Mar 10 03:06:10 fw1 %PIX-6-720032: (VPN-Secondaire) Rappel de l'état de HA : id=3,seq=200,grp=0,event=411,op=2,mon=Actif,peer=Échoué. 
Mar 10 03:06:23 fw1 %PIX-6-720032: (VPN-Secondaire) Rappel de l'état de HA : id=3,seq=200,grp=0,event=406,op=80,mon=Actif,peer=Prêt en veille. 
Mar 10 03:06:23 fw1 %PIX-6-720028: (VPN-Secondaire) Rappel de l'état de HA : État du pair Prêt en veille. 
Mar 10 03:06:24 fw2 %PIX-6-720027: (VPN-Primaire) Rappel de l'état de HA : Mon état Prêt en veille. 
Mar 10 03:07:05 fw1 %PIX-5-111008: L'utilisateur 'enable_15' a exécuté la commande 'failover reset'. 
Mar 10 03:07:31 fw1 %PIX-5-111008: L'utilisateur 'enable_15' a exécuté la commande 'failover active'. 
Mar 10 03:08:04 fw1 %PIX-5-611103: Utilisateur déconnecté : Nom d'utilisateur : enable_1 
Mar 10 03:08:04 fw1 %PIX-6-315011: Session SSH de admin1_int sur l'interface interne pour l'utilisateur "pix" terminée normalement 
Mar 10 03:08:39 fw1 %PIX-6-720032: (VPN-Secondaire) Rappel de l'état de HA : id=3,seq=200,grp=0,event=406,op=20,mon=Actif,peer=Échoué. 
Mar 10 03:08:39 fw1 %PIX-6-720028: (VPN-Secondaire) Rappel de l'état de HA : État du pair Échoué. 
Mar 10 03:09:10 fw1 %PIX-6-605005: Connexion autorisée depuis admin1_int/36891 vers l'intérieur : 192.168.4.4/ssh pour l'utilisateur "pix" 
Mar 10 03:09:23 fw1 %PIX-5-111008: L'utilisateur 'enable_15' a exécuté la commande 'failover reset'. 
Mar 10 03:09:38 fw1 %PIX-6-720032: (VPN-Secondaire) Rappel de l'état de HA : id=3,seq=200,grp=0,event=401,op=0,mon=Actif,peer=Échoué. 
Mar 10 03:09:39 fw1 %PIX-6-720024: (VPN-Secondaire) Rappel de l'état de HA : Le canal de contrôle est hors service. 
Mar 10 03:09:39 fw1 %PIX-6-720032: (VPN-Secondaire) Rappel de l'état de HA : id=3,seq=200,grp=0,event=401,op=1,mon=Actif,peer=Échoué. 
Mar 10 03:09:39 fw1 %PIX-6-720024: (VPN-Secondaire) Rappel de l'état de HA : Le canal de contrôle est actif. 
Mar 10 03:09:39 fw1 %PIX-6-720032: (VPN-Secondaire) Rappel de l'état de HA : id=3,seq=200,grp=0,event=411,op=2,mon=Actif,peer=Échoué. 
Mar 10 03:09:52 fw1 %PIX-6-720032: (VPN-Secondaire) Rappel de l'état de HA : id=3,seq=200,grp=0,event=406,op=80,mon=Actif,peer=Prêt en veille. 
Mar 10 03:09:52 fw1 %PIX-6-720028: (VPN-Secondaire) Rappel de l'état de HA : État du pair Prêt en veille. 
Mar 10 03:09:53 fw2 %PIX-6-720027: (VPN-Primaire) Rappel de l'état de HA : Mon état Prêt en veille.

Je ne suis pas tout à fait sûr de comment interpréter ces données de syslog. Le Primaire ne semble même pas essayer de devenir Actif. Lorsque je recharge les unités individuellement séparément, mes connexions sont conservées, donc il ne semble pas y avoir de véritable panne matérielle. Y a-t-il quelque chose que je peux interroger (IOS ou SNMP) pour vérifier les problèmes matériels ?

Des idées ? Mon niveau en IOS n'est pas très élevé.

Merci pour toute aide que vous pourriez fournir, Aaron

Demandé el 10 de Mars, 2010 par Aaron Brown

Réponses

Trop de publicités?

2voto

blueadept avatar
blueadept Points 516

S'il vous plaît NE PAS utiliser la commande no failover comme mentionné par natacado. Au lieu de cela, utilisez la commande no failover active sur le pare-feu secondaire (actuellement actif). La première commande désactive la bascule automatique; la deuxième commande abandonne le statut actif à l'autre pare-feu du duo HA. Si vous exécutez la commande failover active, veuillez l'exécuter sur le pare-feu primaire (actuellement en veille).

Je ne crois pas que le PIX offre une fonctionnalité permettant la préemption automatique lorsque le pare-feu principal est prêt à traiter à nouveau le trafic.

Répondu el 22 de Avril, 2010 par blueadept (516 Points )

1voto

Redride avatar
Redride Points 119

Veuillez poster votre configuration de basculement ("show run failover"). Ou essayez d'activer la préemption (vous devrez spécifier manuellement quelle unité est primaire et laquelle est secondaire).

Répondu el 11 de Mars, 2010 par Redride (119 Points )

0voto

andy47 avatar
andy47 Points 542

Au moins avec les unités de la série ASA5500, ce que vous voulez est d'exécuter ce qui suit sur VPN-Primary :

no failover

Cela devrait également fonctionner sur les PIX avec des systèmes d'exploitation relativement récents. Fondamentalement, pensez à failover comme une commande qui indique aux unités d'essayer de faire en sorte que le secondaire soit l'unité active, et comme de nombreuses commandes de configuration, no failover supprime l'action.

Répondu el 10 de Avril, 2010 par andy47 (542 Points )

0voto

Aaron Brown avatar
Aaron Brown Points 1667

Pour ce que ça vaut, la seule façon dont nous avons pu résoudre ce problème a été d'éteindre physiquement les deux pare-feu, puis de les redémarrer dans le bon ordre. Aucune des suggestions ci-dessus n'a pu résoudre le problème pour moi. Merci à tous pour votre temps et votre aide, cependant.

Répondu el 20 de Mai, 2010 par Aaron Brown (1667 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X