Назад | Перейти на главную страницу

Устранение сбоев через Cisco PIX 515e

На прошлой неделе в нашем центре обработки данных произошло отключение электроэнергии, и когда вернулся наш двойной PIX 515E под управлением IOS 7.0 (8) (сконфигурированный с отказоустойчивым кабелем), они были в состоянии аварийного переключения, когда вторичный блок активен, а первичный блок является резервным. Я пробовал «сбросить отказоустойчивый», «активный отказоустойчивый» и «отказоустойчивый перезагрузить-резервный», а также выполнять перезагрузки на обоих модулях в различных порядках, и они не возвращаются в режим «первичный / активный вторичный / резервный». Единственное, что я не пробовал в моем арсенале, - это ехать в центр обработки данных и выполнять жесткую перезагрузку, которую я ненавижу делать.

я прочитал Как работает аварийное переключение на межсетевой экран Cisco Secure и кажется, что это должно быть безнравственно.

выход show failover в начальной школе:

Failover On 
Cable status: Normal
Failover unit Primary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.0(8), Mate 7.0(8)
Last Failover at: 02:52:05 UTC Mar 10 2010
        This host: Primary - Standby Ready 
                Active time: 0 (sec)
                Interface outside (x.x.x.165): Normal 
                Interface inside (y.y.y.3): Normal 
        Other host: Secondary - Active 
                Active time: 897045 (sec)
                Interface outside (x.x.x.164): Normal 
                Interface inside (y.y.y.4): Normal 

Stateful Failover Logical Update Statistics
        Link : Unconfigured.

выход show failover в средней школе:

Failover On 
Cable status: Normal
Failover unit Secondary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.0(8), Mate 7.0(8)
Last Failover at: 02:03:04 UTC Feb 28 2010
        This host: Secondary - Active 
                Active time: 896925 (sec)
                Interface outside (x.x.x.164): Normal 
                Interface inside (y.y.y.4): Normal 
        Other host: Primary - Standby Ready 
                Active time: 0 (sec)
                Interface outside (x.x.x.165): Normal 
                Interface inside (y.y.y.3): Normal 

Stateful Failover Logical Update Statistics
        Link : Unconfigured.

В своем системном журнале я вижу следующее:

Mar 10 03:05:00 fw1 %PIX-5-111008: User 'enable_15' executed the 'failover reset' command. 
Mar 10 03:05:09 fw1 %PIX-5-111008: User 'enable_15' executed the 'failover reload-standby' command. 
Mar 10 03:05:12 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=406,op=20,my=Active,peer=Failed. 
Mar 10 03:05:12 fw1 %PIX-6-720028: (VPN-Secondary) HA status callback: Peer state Failed. 
Mar 10 03:06:09 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=401,op=0,my=Active,peer=Failed. 
Mar 10 03:06:09 fw1 %PIX-6-720024: (VPN-Secondary) HA status callback: Control channel is down. 
Mar 10 03:06:09 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=401,op=1,my=Active,peer=Failed. 
Mar 10 03:06:10 fw1 %PIX-6-720024: (VPN-Secondary) HA status callback: Control channel is up. 
Mar 10 03:06:10 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=411,op=2,my=Active,peer=Failed. 
Mar 10 03:06:23 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=406,op=80,my=Active,peer=Standby Ready. 
Mar 10 03:06:23 fw1 %PIX-6-720028: (VPN-Secondary) HA status callback: Peer state Standby Ready. 
Mar 10 03:06:24 fw2 %PIX-6-720027: (VPN-Primary) HA status callback: My state Standby Ready. 
Mar 10 03:07:05 fw1 %PIX-5-111008: User 'enable_15' executed the 'failover reset' command. 
Mar 10 03:07:31 fw1 %PIX-5-111008: User 'enable_15' executed the 'failover active' command. 
Mar 10 03:08:04 fw1 %PIX-5-611103: User logged out: Uname: enable_1 
Mar 10 03:08:04 fw1 %PIX-6-315011: SSH session from admin1_int on interface inside for user "pix" terminated normally 
Mar 10 03:08:39 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=406,op=20,my=Active,peer=Failed. 
Mar 10 03:08:39 fw1 %PIX-6-720028: (VPN-Secondary) HA status callback: Peer state Failed. 
Mar 10 03:09:10 fw1 %PIX-6-605005: Login permitted from admin1_int/36891 to inside:192.168.4.4/ssh for user "pix" 
Mar 10 03:09:23 fw1 %PIX-5-111008: User 'enable_15' executed the 'failover reset' command. 
Mar 10 03:09:38 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=401,op=0,my=Active,peer=Failed. 
Mar 10 03:09:39 fw1 %PIX-6-720024: (VPN-Secondary) HA status callback: Control channel is down. 
Mar 10 03:09:39 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=401,op=1,my=Active,peer=Failed. 
Mar 10 03:09:39 fw1 %PIX-6-720024: (VPN-Secondary) HA status callback: Control channel is up. 
Mar 10 03:09:39 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=411,op=2,my=Active,peer=Failed. 
Mar 10 03:09:52 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=406,op=80,my=Active,peer=Standby Ready. 
Mar 10 03:09:52 fw1 %PIX-6-720028: (VPN-Secondary) HA status callback: Peer state Standby Ready. 
Mar 10 03:09:53 fw2 %PIX-6-720027: (VPN-Primary) HA status callback: My state Standby Ready.

Я не совсем уверен, как интерпретировать эти данные системного журнала. Первичный, кажется, даже не пытается стать Активным. Когда я перезагружаю отдельные блоки по отдельности, мои соединения сохраняются, поэтому не похоже, что у меня действительно аппаратный сбой. Есть ли что-то, что я могу запросить (IOS или SNMP), чтобы проверить наличие проблем с оборудованием?

Есть предположения? Мой IOS-фу слабенький.

Спасибо за любую помощь, которую вы могли бы оказать, Аарон

Пожалуйста, НЕ используйте no failover команда, упомянутая натакадо. Вместо этого используйте no failover active на дополнительном (активном в данный момент) брандмауэре. Первая команда отключает отработку отказа; вторая команда передает активный статус другому межсетевому экрану в паре высокой доступности. Если ты бежишь failover active, запустите его на основном (в настоящее время резервном) брандмауэре.

Я не верю, что PIX предоставляет возможность автоматического прерывания, когда основной брандмауэр снова готов обрабатывать трафик.

Опубликуйте свою конфигурацию аварийного переключения («показать аварийное переключение»). Или попробуйте включить приоритетное прерывание (вам нужно будет вручную указать, какой модуль является основным, а какой - второстепенным).

FWIW, единственный способ решить эту проблему - физически выключить оба брандмауэра, а затем снова включить их в правильном порядке. Ни одно из приведенных выше предложений не помогло мне решить проблему. Тем не менее, спасибо всем за ваше время и помощь.

По крайней мере, с устройствами серии ASA5500 вы хотите запустить следующее на VPN-Primary:

no failover

Это также должно работать на PIX с относительно недавними операционными системами. По сути, подумайте о failover в качестве команды, которая сообщает блокам, чтобы они попытались сделать вторичный блок активным, и, как и многие команды конфигурации, no failover убирает действие.