fwsm 故障切换故障排除

《fwsm 故障切换故障排除》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

FWSM故障切换故障排除目录简介前提条件     要求     使用的组件     约定背景信息故障切换清单     验证接口     许可证     上下文模式     软件要求     有状态故障切换的最小FWSM配置     最小交换机配置故障排除     版本不匹配     不兼容许可证     不同模式（单上下文与多上下文）     两个FWSM变为活动状态     VLAN不匹配     故障切换已在配置中禁用相关信息简介本文档介绍用于解决防火墙服务模块(FWSM)故障切换配置问题的过程。本文档还提供一个常规过程清单，以供在开始解决故障切换连接问题前尝试使用。前提条件要求本文档没有任何特定的要求。使用的组件本文档中的信息基于FWSM2.3及更高版本。本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您在一个工作网络中操作，在使用之前请确认您已经理解所有指令的潜在影响。约定有关文档规则的详细信息，请参阅Cisco技术提示规则。背景信息故障切换功能允许备用FWSM取代出现故障的FWSM的功能。相关的两个FWSM必须具有相同的主软件版本（第一个数字）和次软件版本（第二个数字）、许可证和操作模式（路由或透明，单上下文或多上下文）。当活动单元发生故障时，其状态将变为备用，同时备用单元将变为活动状态。在发生故障切换之后，新的活动单元具有相同的连接信息。有关其他信息，请参阅“使用故障切换”的配置故障切换部分。故障切换清单 以下清单将帮助您在FWSM中成功配置故障切换：验证接口许可证上下文模式软件要求有状态故障切换的最小FWSM配置最小交换机配置验证接口验证FWSM上的所有接口都具有一个已配置的备用IP地址。如果尚未配置，请为每个接口（路由模式）或管理地址（透明模式）配置活动和备用IP地址。备用IP地址用于当前作为备用单元的FWSM上。它必须与活动IP地址处于同一子网中。以下是一个配置示例：ipaddressstandby注意： 请勿配置故障切换链路或有状态链路的IP地址（如果您计划使用有状态故障切换）。注意： 您不需要识别备用地址子网掩码。在发生故障切换时，故障切换链路IP地址和MAC地址不会更改。故障切换链路的活动IP地址始终用于主要单元，而备用IP地址始终用于辅助单元。许可证活动单元和备用单元必须具有相同的许可证。上下文模式如果主要单元处于单上下文模式下，则辅助单元也必须处于单上下文模式下，并且与主要单元使用相同的防火墙模式。如果主要单元处于多上下文模式下，则辅助单元也必须处于多上下文模式下。您不需要配置辅助单元的安全上下文的防火墙模式，因为故障切换链路和有状态链路均驻留在系统上下文中。辅助单元将从主要单元中获得安全上下文配置。注意： 模式命令不会被复制到辅助单元。注意： 在安全设备的多上下文模式下不支持多播。有关详细信息，请参阅不支持的功能部分。软件要求在故障切换配置中，两个单元的主软件版本（第一个数字）和次软件版本（第二个数字）必须相同。但是，在升级过程中，您可以使用不同的软件版本。例如，您可以将一个单元的版本从3.1(1)升级到3.1(2)并使故障切换保持活动状态。Cisco建议您将两个单元都升级为同一版本以确保长期兼容。有状态故障切换的最小FWSM配置主要FWSMfailoverlanunitprimaryfailoverlaninterfaceif_namevlanvlanfailoverinterfaceipif_nameip_addrmaskstandbyip_addrfailoverlinkif_namevlanvlanfailoverinterfaceipif_nameip_addrmaskstandbyip_addr辅助FWSMfailoverlanunitsecondaryfailoverlaninterfaceif_namevlanvlanfailoverinterfaceipif_nameip_addrmaskstandbyip_addrfailoverlinkif_namevlanvlanfailoverinterfaceipif_nameip_addrmaskstandbyip_addr有关如何配置活动和备用故障切换的详细信息，请参阅配置活动/备用故障切换。最小交换机配置由Catalyst发送到主要FWSM的包含主要单元的VLAN必须与Catalyst发送到辅助FWSM的包含辅助单元的VLAN匹配。（showrun|ifirewall命令的输出必须相同。) 主要机箱cat6k-7(config)#doshrun|ifirefirewallmultiple-vlan-interfacesfirewallmodule9vlan-group1firewallvlan-group13,4,100-106辅助机箱cat6k-7(config)#doshrun|ifirefirewallmultiple-vlan-interfacesfirewallmodule9vlan-group1firewallvlan-group13,4,100-106所有发送的VLAN必须存在于VLAN数据库中，并且处于活动状态。要执行此任务，请在配置模式下的交换机中发出以下命令：vlan10noshut要验证VLAN是否位于数据库中并且处于活动状态，两个机箱的showVLAN命令输出都必须包含发送到FWSM的VLAN，并且显示为活动状态。以下是输出示例：主要机箱cat6k-7(config)#doshvlanVLANNameStatusPorts--------------------------------------------------1defaultactive3VLAN0003activeFa4/474VLAN0004activeFa4/48辅助机箱cat6k-7(config)#doshvlanVLANNameStatusPorts--------------------------------------------------1defaultactive3VLAN0003activeFa4/474VLAN0004activeFa4/48请确保两个FWSM的每个VLAN中都具有第二层连接（它们必须位于相同子网中）。透明防火墙要求：为了避免循环，当您在透明模式时使用故障切换，您必须使用支持网桥协议数据单元(BPDU)转发的交换机软件。并且，您必须配置FWSM以允许BPDU。要允许BPDU通过FWSM，请配置一种以太网类型？ACL，并将其应用于两个接口。注意： 与PIX和ASA平台相反，两个FWSM刀片的硬件始终是相同的，其型号或内存配置没有不同。故障排除当FWSM重新加载时，本部分中介绍的方案将造成故障切换被禁用。在出现崩溃、从机箱中重置、从FWSMCLI中发出重新加载命令、在不同插槽中插入或重置新模块，或者机箱重新连接电源时，FWSM可以重新加载。版本不匹配在故障切换配置中，两个单元的主软件版本（第一个数字）和次软件版本（第二个数字）必须相同。相关系统日志消息-105040 不兼容许可证您可能会由于许可证不兼容而收到以下系统日志：FWSM-1-105045:(Primary)Matelicense(numbercontexts)isnotcompatiblewithmylicense(numbercontexts).FWSM-1-105001:(Primary)Disablingfailover.相关系统日志消息-105045、105001不同模式（单上下文与多上下文）主要FWSM和辅助FWSM必须处于相同模式下（单上下文或多上下文）。例如，如果主要FWSM配置为单模，而辅助FWSM配置为多模，则在辅助FWSM重新载入时，两个模块的故障切换都将关闭。主要FWSM处于单模：%FWSM-1-103001:(Primary)Noresponsefromotherfirewall(reasoncode=1).%FWSM-1-105044:(Primary)Mateoperationalmode(Multi)isnotcompatiblewithmymode(Single).%FWSM-1-105001:(Primary)Disablingfailover.辅助FWSM处于多模（此刀片将被重新载入）：%FWSM-5-111008:User'Config'executedthe'nosnmp-serverlocation'command.%FWSM-5-111008:User'Config'executedthe'inspecttftp'command.%FWSM-5-111008:User'Config'executedthe'service-policyglobal_policyglobal'command.%FWSM-5-111008:User'Config'executedthe'config-urldisk:/admin.cfg'command.%FWSM-5-111008:User'Config'executedthe'prompthostnamecontext'command.%FWSM-4-411001:LineprotocolonInterfaceLAN,changedstatetoup%FWSM-4-411001:LineprotocolonInterfaceLAN,changedstatetoup%FWSM-1-105044:(Secondary)Mateoperationalmode(Single)isnotcompatiblewithmymode(Multi).%FWSM-1-105001:(Secondary)Disablingfailover.%FWSM-6-199002:Startupcompleted.Beginningoperation.%FWSM-6-605005:Loginpermittedfrom127.0.0.51/15518toeobc:127.0.0.91/telnetforuser""%FWSM-5-502103:Userprivlevelchanged:Uname:enable_15From:1To:15%FWSM-5-111008:User'enable_15'executedthe'changetocontextadmin'command.主要FWSM处于多模：%FWSM-1-105044:(Primary)Mateoperationalmode(Single)isnotcompatiblewithmymode(Multi).%FWSM-1-105001:(Primary)Disablingfailover.相关系统日志消息-105044、103001、105001两个FWSM变为活动状态当您在日志中看到此错误消息时：fw_create_pc_sw:fw_create_portchannelfailed此错误的原因是，因为交换机中的建议端口通道数量超出了最大数量（在Cat6000/6500上的CiscoIOS软件版本12.2(33)SXH4中，最大数量为128）。所以，接口描述符模块(IDB)限制用尽。由于此原因，您最终可能遇到以下两个问题：当您具有两台交换机，每台交换机具有一个FWSM模块，并且其中一台交换机作为活动交换机，另一台交换机作为备用交换机时，这两个FWSM模块将同时变为活动状态。您不能创建其他端口通道。作为解决问题一部分，请删除非必要的端口通道，并重新加载FWSM。VLAN不匹配问题 FWSM收到以下错误消息：'DetectedanActiveMate''Vlanconfigurationmismatch''failoverwillbedisabled'.或防火墙服务模块的配置和相应的交换机配置似乎是完整的。但是，FWSM之间无法相互同步。在辅助主机上收到了以下消息：StatecheckdetectedanActivemateUnabletoverifyvlanconfigurationwithmate.Checkthatmate'sfailoverisenabledNoResponsefromMate或showfailover命令输出显示，辅助模块的故障转移状态为关闭，FWSM故障切换状态则是“故障切换关闭”(pseudo-Standby)。FWSM-secondary(config)#showfailoverFailoverOff(pseudo-Standby)解决方案此问题可能是防火墙间的VLAN分配（FWSM和Supervisor）不匹配引起的。例如，在防火墙VLAN组1语句中，每台交换机上分配给防火墙的相同VLAN数量可能不同。这可能会导致问题。如果在防火墙中分配相同数量的VLAN，则故障切换将正常工作。为避免收到VLAN配置不匹配错误，两个FWSM上的showVLAN命令输出必须相同。仅当您在FWSM上修改或加载故障切换配置时，此错误消息才会出现。例如，当FWSM启动时，它将从闪存中装载启动配置，并尝试初始化故障切换。此时，它将进行检查以确定两个模块都收到正确的VLAN。如果VLAN不匹配，则将显示错误消息，并且故障切换仍将保持禁用。注意： 要启用故障切换，FWSM要求使用相同的配置和端口分配。您可以在机箱间进行故障切换，但分配给防火墙的每个VLAN必须位于两个机箱之间的中继上。FWSM不包括任何外部物理接口。相反，它使用的是VLAN接口。将VLAN分配到FWSM与将VLAN分配到交换机端口类似。FWSM包括到交换结构模块（如果存在）或共享总线的内部接口。有关详细信息，请参阅将VLAN分配到防火墙服务模块。请注意，VLAN映射可能在工作FWSM设置期间被修改，并在下一次引导时失败。问题当启用两个FWSM之间的有状态故障切换时，FWSM将停止工作。解决方案此问题的原因可能是在启用有状态故障切换时配置了spanning-treevlanpriority。有时，当配置了具有生成树优先级的VLAN时，启用有状态故障切换也可能会导致问题，并使FWSM停止工作。在交换机中启用有状态故障切换时，您可能需要删除spanning-treevlanpriority命令，以避免FWSM出现问题。删除spanning-treevlanpriority命令：nospanning-treevlan333priority8000故障切换已在配置中禁用如果在闪存配置中禁用了故障切换，则当重新载入时它将处于禁用状态。相关信息FWSM：配置故障切换FWSM：系统日志消息技术支持和文档-CiscoSystems版权所有©1992-2010思科系统 文件创建日期:May12,2010http://www.cisco.com/cisco/web/support/CN/108/1081/1081841_fwsm-failover-trshoot.html