PIX/ASA: مثال تكوين تجاوز الفشل النشط/النشط

خيارات التنزيل

PDF (456.4 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (153.3 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (242.3 KB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:٤ نوفمبر ٢٠٠٩

معرّف المستند:91336

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة

المتطلبات الأساسية

المتطلبات

المكونات المستخدمة

المنتجات ذات الصلة

الاصطلاحات

تجاوز الفشل النشط/النشط

نظرة عامة على تجاوز الفشل النشط/النشط

الحالة الأساسية/الثانوية والحالة النشطة/الاحتياطية

تهيئة الجهاز ومزامنة التكوين

نسخ الأوامر

مشغلات تجاوز الفشل

إجراءات تجاوز الفشل

تجاوز الفشل العادي والحالي

تجاوز الفشل العادي

تجاوز الفشل ذو الحالة

قيود تكوين تجاوز الفشل

ميزات غير مدعومة

تهيئة نشطة/نشطة لتجاوز الفشل قائمة على الكبلات

المتطلبات الأساسية

الرسم التخطيطي للشبكة

التكوينات

تكوين نشط/نشط لتجاوز الفشل مستند إلى شبكة LAN

الرسم التخطيطي للشبكة

تكوين الوحدة الأساسية

تكوين الوحدة الثانوية

التكوينات

التحقق من الصحة

إستخدام أمر show failover

عرض الواجهات المراقبة

عرض أوامر تجاوز الفشل في التكوين الجاري تشغيله

إختبارات وظائف تجاوز الفشل

تجاوز الفشل المفروض

تجاوز الفشل المعطل

إستعادة وحدة معطلة

إستبدال الوحدة الفاشلة بوحدة جديدة

استكشاف الأخطاء وإصلاحها

رسائل نظام تجاوز الفشل

إتصالات تجاوز الفشل الأساسية المفقودة مع رفيق الزواج على interface_name

رسائل تصحيح الأخطاء

SNMP

زمن تجاوز الفشل

تحذير: فشل فك تشفير رسالة تجاوز الفشل.

معلومات ذات صلة

المقدمة

تتطلب تهيئة التغلب على الأعطال توصيل جهازي أمان متطابقين ببعضهما البعض من خلال إرتباط مخصص للتغلب على الأعطال، وبشكل إختياري، إرتباط تجاوز الأعطال الذي يحدد الحالة. تتم مراقبة سلامة الواجهات والوحدات النشطة لتحديد ما إذا تم الوفاء بشروط محددة للتغلب على الأعطال. إذا تم استيفاء هذه الشروط، يحدث تجاوز الفشل.

يدعم جهاز الأمان عمليتي تهيئة للتغلب على الأعطال والتغلب على الأعطال النشطة/النشطة وتجاوز الأعطال في وضع الاستعداد/النشط. يكون لكل تكوين لتجاوز الفشل طريقته الخاصة لتحديد عملية تجاوز الفشل وتنفيذها. مع تجاوز الفشل النشط/النشط، يمكن لكلا الوحدتين تمرير حركة مرور الشبكة. يتيح لك ذلك تكوين موازنة الأحمال على الشبكة. لا يتوفر تجاوز الفشل النشط/النشط إلا على الوحدات التي تعمل في وضع سياق متعدد. مع تجاوز الأعطال في وضع الاستعداد/النشط، لا تتخطى حركة مرور البيانات إلا وحدة واحدة بينما تنتظر الوحدة الأخرى في حالة إستعداد. تتوفر ميزة التغلب على الأعطال في وضع الاستعداد/النشط على الوحدات التي تعمل في وضع سياق واحد أو متعدد. تدعم كل من عمليات التهيئة الخاصة بتجاوز الأعطال إمكانية تجاوز الأعطال عديم الحالة أو عديم الحالة (بشكل منتظم).

يركز هذا المستند على كيفية تكوين تجاوز فشل نشط/نشط في جهاز الأمان Cisco PIX/ASA.

ارجع إلى مثال تكوين التغلب على الأعطال النشط/الاحتياطي ل PIX/ASA 7.x للحصول على مزيد من المعلومات حول تكوينات تجاوز الأعطال النشطة/الاحتياطية.

ملاحظة: لا يتم دعم تجاوز فشل الشبكة الخاصة الظاهرية (VPN) على الوحدات التي تعمل في وضع سياق متعدد لأن الشبكة الخاصة الظاهرية (VPN) غير مدعومة في سياق متعدد. لا يتوفر تجاوز فشل الشبكة الخاصة الظاهرية (VPN) إلا لتكوينات التغلب على الأعطال النشطة/الاحتياطية في تكوينات السياق الواحد.

يوفر دليل التكوين هذا نموذجا للتكوين لتضمين مقدمة موجزة لتقنية PIX/ASA 7.x النشطة/النشطة. ارجع إلى مرجع أمر جهاز الأمان من Cisco، الإصدار 7.2 للحصول على شعور أكثر تعمقا للنظرية المستندة إلى هذه التقنية.

المتطلبات الأساسية

المتطلبات

متطلبات الأجهزة

يجب أن يكون لكلا الوحدتين في تهيئة تجاوز الفشل نفس تهيئة الأجهزة. يجب أن تكون بنفس الطراز، وأن تحتوي على نفس عدد الواجهات وأنواعها، مع نفس مقدار ذاكرة الوصول العشوائي (RAM).

ملاحظة: لا تحتاج الوحدتان إلى امتلاك ذاكرة Flash بنفس الحجم. إذا كنت تستخدم وحدات بأحجام مختلفة من ذاكرة Flash (الذاكرة المؤقتة) في تهيئة تجاوز الفشل، فتأكد من أن الوحدة ذات ذاكرة Flash الأصغر حجما تحتوي على مساحة كافية لاستيعاب ملفات صورة البرنامج وملفات التكوين. وإذا لم تكن كذلك، فإن مزامنة التكوين من الوحدة ذات ذاكرة Flash الأكبر حجما إلى الوحدة ذات ذاكرة Flash الأصغر حجما تفشل.

متطلبات البرامج

يجب أن تكون الوحدتان الموجودتان في تكوين تجاوز الفشل في أوضاع التشغيل (الموجهة أو الشفافة، أحادية أو متعددة السياق). يجب أن يكون لديهم إصدار البرنامج الرئيسي نفسه (الرقم الأول) والإصدار الثانوي (الرقم الثاني)، ولكن يمكنك إستخدام إصدارات مختلفة من البرنامج ضمن عملية ترقية، على سبيل المثال، يمكنك ترقية وحدة واحدة من الإصدار 7.0(1) إلى الإصدار 7.0(2) وتبقى عملية تجاوز الفشل نشطة. cisco يوصي أن يحسن أنت كلا وحدة إلى ال نفسه صيغة أن يضمن توافق طويل الأجل.

ارجع إلى إجراء ترقيات التوقف عن العمل على الإطلاق لأزواج تجاوز الفشل للحصول على مزيد من المعلومات حول ترقية البرنامج على زوج تجاوز الفشل.

متطلبات الترخيص

على النظام الأساسي لجهاز أمان PIX/ASA، يجب أن يكون لدى إحدى الوحدات على الأقل ترخيص غير مقيد (UR). يمكن أن تحتوي الوحدة الأخرى على ترخيص تجاوز الفشل النشط فقط (FO_AA)، أو ترخيص UR آخر. لا يمكن إستخدام الوحدات التي تحتوي على ترخيص مقيد لتجاوز الفشل، ولا يمكن إستخدام وحدتين مع تراخيص FO_AA معا كزوج لتجاوز الفشل.

ملاحظة: قد تحتاج إلى ترقية التراخيص على زوج تجاوز الفشل للحصول على ميزات ومزايا إضافية. لمزيد من المعلومات حول الترقية، ارجع إلى ترقية مفتاح الترخيص على زوج تجاوز الفشل

ملاحظة: يجب أن تكون المميزات المرخصة، مثل نظائر SSL VPN أو سياقات الأمان، في كل من أجهزة الأمان التي تشارك في تجاوز الأعطال متطابقة.

ملاحظة: لا يدعم ترخيص FO تجاوز الفشل النشط/النشط.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

جهاز أمان PIX مع الإصدار 7.x والإصدارات الأحدث

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

المنتجات ذات الصلة

كما يمكن إستخدام هذا التكوين مع إصدارات الأجهزة والبرامج التالية:

ASA مع الإصدار 7.x والإصدارات الأحدث

ملاحظة: لا يتوفر تجاوز الفشل النشط/النشط على جهاز الأمان القابل للتكيف طراز ASA 5505.

الاصطلاحات

أحلت ال cisco فني طرف إتفاق ل كثير معلومة وثيقة إتفاق.

تجاوز الفشل النشط/النشط

يصف هذا القسم تجاوز الفشل في وضع الاستعداد/النشط ويتضمن الموضوعات التالية:

نظرة عامة على تجاوز الفشل النشط/النشط
الحالة الأساسية/الثانوية والحالة النشطة/الاحتياطية
تهيئة الجهاز ومزامنة التكوين
نسخ الأوامر
مشغلات تجاوز الفشل
إجراءات تجاوز الفشل

نظرة عامة على تجاوز الفشل النشط/النشط

لا يتوفر تجاوز الفشل النشط/النشط إلا لأجهزة الأمان في وضع السياق المتعدد. في تكوين نشط/نشط لتجاوز الفشل، يمكن لكل من أجهزة الأمان تمرير حركة مرور الشبكة.

في حالة تجاوز الفشل النشط/النشط، يمكنك تقسيم سياقات الأمان الموجودة على جهاز الأمان إلى مجموعات تجاوز الفشل. مجموعة تجاوز الفشل هي ببساطة مجموعة منطقية لسياق أمان واحد أو أكثر. يمكنك إنشاء مجموعتي تجاوز فشل كحد أقصى على جهاز الأمان. دائما ما يكون سياق الإدارة عضوا في مجموعة تجاوز الفشل 1. يعد أي سياق أمان غير معين أيضا أعضاء في مجموعة تجاوز الفشل 1 بشكل افتراضي.

تشكل مجموعة تجاوز الفشل الوحدة الأساسية لتجاوز الفشل في تجاوز الفشل النشط/النشط. تعد مراقبة أعطال الواجهة وتجاوز الفشل والحالة النشطة/الاحتياطية كلها سمات لمجموعة تجاوز الأعطال بدلا من الوحدة. عند فشل مجموعة نشطة لتجاوز الفشل، فإنها تتغير إلى حالة الاستعداد بينما تصبح مجموعة التغلب على الأعطال في وضع الاستعداد نشطة. يفترض الواجهات في مجموعة تجاوز الفشل التي تصبح نشطة عناوين MAC و IP الخاصة بواجهات مجموعة تجاوز الفشل التي فشلت. تتسلم الواجهات في مجموعة تجاوز الفشل الموجودة الآن في حالة الاستعداد عناوين MAC و IP في وضع الاستعداد.

ملاحظة: لا يعني فشل مجموعة تجاوز الفشل في وحدة ما أن الوحدة قد فشلت. ربما لا تزال الوحدة مزودة بمجموعة أخرى للتغلب على الأعطال لتمرير حركة المرور عليها.

الحالة الأساسية/الثانوية والحالة النشطة/الاحتياطية

وكما هو الحال في الوحدات النشطة/الاحتياطية للتغلب على الأعطال، يتم تخصيص وحدة واحدة في زوج نشط/نشط للتغلب على الأعطال للوحدة الأساسية، بينما يتم تعيين الوحدة الأخرى للوحدة الثانوية. على عكس تجاوز الفشل النشط/الاحتياطي، لا يشير هذا التعيين إلى الوحدة التي تصبح نشطة عندما تبدأ كلتا الوحدتين في وقت واحد. وبدلا من ذلك، فإن التصنيف الأولي/الثانوي يقوم بأمرين:

تحديد الوحدة التي توفر التكوين الجاري تشغيله للزوج عند التمهيد في الوقت نفسه.
تحديد الوحدة التي تظهر فيها كل مجموعة تجاوز فشل في الحالة النشطة عند تمهيد الوحدات في وقت واحد. يتم تكوين كل مجموعة تجاوز فشل في التكوين باستخدام تفضيل وحدة أساسية أو ثانوية. يمكنك تكوين كلتا مجموعتي تجاوز الفشل في الحالة النشطة على وحدة واحدة في الزوج، مع إحتواء الوحدة الأخرى على مجموعات تجاوز الفشل في حالة الاستعداد. ومع ذلك، فإن التكوين الأكثر نموذجية هو تخصيص كل مجموعة لتجاوز الفشل تفضيل دور مختلف لجعل كل واحدة نشطة على وحدة مختلفة، وتوزيع حركة مرور البيانات عبر الأجهزة.

ملاحظة: لا يوفر جهاز الأمان خدمات موازنة الأحمال. يجب معالجة موازنة التحميل بواسطة حركة مرور موجه إلى جهاز الأمان.

يتم تحديد الوحدة التي تصبح كل مجموعة تجاوز فشل نشطة عليها كما هو موضح

عندما يتم تمهيد الوحدة أثناء عدم توفر وحدة النظير، تصبح كلتا مجموعتي تجاوز الفشل نشطة على الوحدة.
عندما يتم تمهيد الوحدة أثناء نشاط وحدة النظير (مع وجود مجموعتي تجاوز الفشل في الحالة النشطة)، تظل مجموعات تجاوز الفشل في الحالة النشطة للوحدة النشطة بغض النظر عن التفضيل الأساسي أو الثانوي لمجموعة تجاوز الفشل حتى أحد الأمور التالية:
- يحدث تجاوز فشل.
- يمكنك فرض مجموعة تجاوز الفشل يدويا على الوحدة الأخرى باستخدام الأمر no fail over active
- لقد قمت بتهيئة مجموعة تجاوز الفشل باستخدام الأمر الوقائي، والذي يتسبب في أن تصبح مجموعة تجاوز الفشل نشطة تلقائيا على الوحدة المفضلة عند توفر الوحدة.
وعند تمهيد كلتا الوحدتين في نفس الوقت، تصبح كل مجموعة لتجاوز الفشل نشطة على وحدتها المفضلة بعد مزامنة التكوينات.

تهيئة الجهاز ومزامنة التكوين

تحدث مزامنة التكوين عندما تكون إحدى الوحدات أو كلتا الوحدتين في تمهيد زوج تجاوز الفشل. تتم مزامنة التكوينات كما هو موضح:

عندما يتم تمهيد الوحدة أثناء نشاط وحدة النظير (مع وجود كلتا مجموعتي تجاوز الفشل نشطتين عليها)، تتصل وحدة التمهيد بالوحدة النشطة للحصول على التكوين الجاري تشغيله بغض النظر عن تسمية وحدة التمهيد الأساسية أو الثانوية.
عندما يتم تحميل كلتا الوحدتين في نفس الوقت، تحصل الوحدة الثانوية على التكوين الجاري تشغيله من الوحدة الأساسية.

عند بدء النسخ المتماثل، تقوم وحدة تحكم جهاز الأمان الموجودة على الوحدة التي ترسل التكوين بعرض الرسالة "بدء النسخ المتماثل للتكوين: الإرسال إلى الاقتران"، وعندما يكتمل، يعرض جهاز الأمان الرسالة "إنهاء النسخ المتماثل للتكوين إلى الاقتران. أثناء النسخ المتماثل، قد لا يتم نسخ الأوامر التي تم إدخالها على الوحدة التي ترسل التكوين بشكل صحيح إلى وحدة النظير، وقد تتم الكتابة فوق الأوامر التي تم إدخالها على الوحدة التي تتلقى التكوين بواسطة التكوين الذي يتم إستقباله. تجنب إدخال الأوامر على أي من الوحدتين في زوج تجاوز الفشل أثناء عملية النسخ المتماثل للتكوين. استنادا إلى حجم التكوين، يمكن أن تستغرق عملية النسخ المتماثل من بضع ثوان إلى عدة دقائق.

في الوحدة التي تتلقى التكوين، يوجد التكوين فقط في الذاكرة قيد التشغيل. لحفظ التكوين في ذاكرة Flash (الذاكرة المؤقتة) بعد المزامنة، أدخل الأمر write memory all في مساحة تنفيذ النظام على الوحدة التي تحتوي على مجموعة تجاوز الفشل 1 في الحالة النشطة. يتم نسخ الأمر نسخا متماثلا إلى وحدة النظير، والتي تنتقل إلى كتابة التكوين الخاص بها إلى ذاكرة Flash (الذاكرة المؤقتة). يؤدي إستخدام الكلمة الأساسية all مع هذا الأمر إلى حفظ النظام وجميع تكوينات السياق.

ملاحظة: يمكن الوصول إلى تكوينات بدء التشغيل المحفوظة على الخوادم الخارجية من أي من الوحدتين عبر الشبكة ولا يلزم حفظها بشكل منفصل لكل وحدة. بدلا من ذلك، يمكنك نسخ ملفات تكوين السياقات من القرص الموجود على الوحدة الأساسية إلى خادم خارجي، ثم نسخها إلى قرص على الوحدة الثانوية، حيث تصبح متوفرة عند إعادة تحميل الوحدة.

نسخ الأوامر

بعد تشغيل كلا الوحدتين، يتم نسخ الأوامر من وحدة إلى أخرى كما هو موضح:

يتم نسخ الأوامر التي تم إدخالها ضمن سياق الأمان نسخا متماثلا من الوحدة التي يظهر عليها سياق الأمان في الحالة النشطة إلى وحدة النظير.

ملاحظة: يتم مراعاة السياق في الحالة النشطة لوحدة ما إذا كانت مجموعة تجاوز الفشل التي تنتمي إليها في الحالة النشطة لتلك الوحدة.
يتم نسخ الأوامر التي تم إدخالها في مساحة تنفيذ النظام من الوحدة التي توجد عليها مجموعة تجاوز الفشل 1 في الحالة النشطة إلى الوحدة التي توجد عليها مجموعة تجاوز الفشل 1 في حالة الاستعداد.
يتم نسخ الأوامر التي تم إدخالها في سياق الإدارة نسخا متماثلا من الوحدة التي توجد عليها مجموعة تجاوز الفشل 1 في الحالة النشطة إلى الوحدة التي توجد عليها مجموعة تجاوز الفشل 1 في حالة الاستعداد.

كل أوامر التكوين والملف (نسخة، إعادة تسمية، حذف، mkdir، rmdir، وهكذا) يتم نسخها، مع الاستثناءات التالية. لا يتم نسخ أوامر وحدة show و debug و mode و firewall وfailed lan نسخا متماثلا.

يؤدي الفشل في إدخال الأوامر على الوحدة المناسبة لنسخ الأوامر إلى عدم مزامنة التكوينات. قد تفقد هذه التغييرات في المرة التالية التي يتم فيها مزامنة التكوين الأولي.

يمكنك إستخدام الأمر write standby لإعادة مزامنة التكوينات التي أصبحت غير متزامنة. بالنسبة لتجاوز الفشل النشط/النشط، يتصرف أمر الكتابة في وضع الاستعداد كما هو موضح:

إذا قمت بإدخال الأمر write standby في مساحة تنفيذ النظام، فسيتم كتابة تكوين النظام والتكوينات لجميع سياقات الأمان على جهاز الأمان إلى وحدة النظير. ويتضمن ذلك معلومات التكوين لسياقات الأمان الموجودة في حالة الاستعداد. يجب إدخال الأمر في مساحة تنفيذ النظام على الوحدة التي تحتوي على مجموعة تجاوز الفشل 1 في الحالة النشطة.

ملاحظة: في حالة وجود سياقات أمان في الحالة النشطة على وحدة النظير، يتسبب الأمر write standby في إنهاء الاتصالات النشطة من خلال هذه السياقات. أستخدم الأمر تجاوز الفشل النشط على الوحدة التي توفر التكوين للتأكد من أن جميع السياقات نشطة على تلك الوحدة قبل إدخال الأمر write standby.
إذا قمت بإدخال الأمر write standby في سياق أمان، فسيتم كتابة التكوين لسياق الأمان فقط إلى وحدة النظير. يجب إدخال الأمر في سياق الأمان على الوحدة التي يظهر فيها سياق الأمان في الحالة النشطة.

لا يتم حفظ الأوامر المنسوخة نسخا متماثلا في ذاكرة Flash (الذاكرة المؤقتة) عند نسخها نسخا متماثلا إلى وحدة النظير. تتم إضافتها إلى التكوين الجاري تشغيله. لحفظ الأوامر المنسوخة نسخا متماثلا إلى ذاكرة Flash (الذاكرة المؤقتة) على كلا الوحدتين، أستخدم الأمر write memory أو copy running-config startup-config على الوحدة التي قمت بإجراء التغييرات عليها. يتم نسخ الأمر نسخا متماثلا إلى وحدة النظير ويتسبب في حفظ التكوين في ذاكرة Flash (الذاكرة المؤقتة) على وحدة النظير.

مشغلات تجاوز الفشل

في حالة تجاوز الفشل النشط/النشط، يمكن تشغيل تجاوز الفشل على مستوى الوحدة في حالة حدوث أحد الأحداث التالية:

الوحدة بها عطل في الجهاز.
الوحدة لديها عطل في الطاقة.
الوحدة لديها فشل برمجي.
يتم إدخال الأمر no failed over active أو faultover active في مساحة تنفيذ النظام.

يتم تشغيل تجاوز الفشل على مستوى مجموعة تجاوز الفشل عند حدوث أحد هذه الأحداث:

فشل العديد من الواجهات المراقبة في المجموعة.
يتم إدخال الأمر no failed over active group_id أو failed over active group_id.

إجراءات تجاوز الفشل

في التهيئة النشطة/النشطة للتغلب على الأعطال، يحدث تجاوز الأعطال على أساس مجموعة تجاوز الأعطال، وليس على أساس النظام. على سبيل المثال، إذا قمت بتحديد كل من مجموعتي تجاوز الفشل كنشاطتين في الوحدة الأساسية، وفشلت مجموعة تجاوز الفشل 1، عندئذ تظل مجموعة تجاوز الفشل 2 نشطة في الوحدة الأساسية، بينما تصبح مجموعة تجاوز الفشل 1 نشطة في الوحدة الثانوية.

ملاحظة: عند تكوين تجاوز الفشل النشط/النشط، تأكد من أن حركة المرور المجمعة لكلا الوحدتين ضمن سعة كل وحدة.

يوضح هذا الجدول إجراء تجاوز الفشل لكل حدث فشل. في كل حدث فشل، يتم توفير النهج (سواء حدث تجاوز الفشل أم لا) والإجراءات الخاصة بمجموعة تجاوز الفشل النشطة والإجراءات الخاصة بمجموعة تجاوز الفشل الاحتياطية.

حدث الفشل	السياسة	فعل جماعي نشط	إجراء المجموعة الاحتياطية	ملاحظات
الوحدة تتعرض لفشل في الطاقة أو البرمجيات	تجاوز الفشل	أصبح علامة إستعداد كعلامة فشل	كن في وضع الاستعداد. وضع علامة "نشط" كفشل	عند فشل وحدة في زوج تجاوز الفشل، يتم تمييز أي مجموعات نشطة لتجاوز الفشل على تلك الوحدة على أنها فاشلة وتصبح نشطة على وحدة النظير.
فشل الواجهة على مجموعة تجاوز الفشل النشطة التي تتجاوز الحد	تجاوز الفشل	وضع علامة "فشل" على المجموعة النشطة	نشيطا	None
فشل الواجهة على مجموعة تجاوز الفشل في وضع الاستعداد فوق الحد	لا يوجد تجاوز فشل	لا يوجد إجراء	وضع علامة "فشل" على مجموعة الاستعداد	عندما يتم وضع علامة "فشل" على مجموعة تجاوز الفشل الاحتياطية، لا تحاول مجموعة تجاوز الفشل النشطة تجاوز الفشل، حتى في حالة تجاوز حد فشل الواجهة.
عمليات إسترداد مجموعة تجاوز الفشل النشطة سابقا	لا يوجد تجاوز فشل	لا يوجد إجراء	لا يوجد إجراء	ما لم يتم تكوينها باستخدام الأمر الوقائي، فإن مجموعات تجاوز الفشل تبقى نشطة على وحدتها الحالية.
فشل إرتباط تجاوز الفشل عند بدء التشغيل	لا يوجد تجاوز فشل	نشيطا	نشيطا	إذا كان إرتباط تجاوز الفشل معطلا عند بدء التشغيل، فإن كلتا مجموعتي تجاوز الفشل على كلتا الوحدتين تصبح نشطة.
فشل إرتباط تجاوز الفشل ذو الحالة	لا يوجد تجاوز فشل	لا يوجد إجراء	لا يوجد إجراء	تصبح معلومات الحالة قديمة، ويتم إنهاء جلسات العمل إذا حدث تجاوز فشل.
فشل إرتباط تجاوز الفشل أثناء التشغيل	لا يوجد تجاوز فشل	غير متوفر	غير متوفر	تقوم كل وحدة بتمييز واجهة تجاوز الفشل على أنها فاشلة. يجب عليك إستعادة إرتباط تجاوز الفشل في أقرب وقت ممكن لأن الوحدة لا يمكن أن تتعطل إلى الوحدة الاحتياطية بينما إرتباط تجاوز الفشل معطل.

تجاوز الفشل العادي والحالي

يدعم جهاز الأمان نوعين من تجاوز الأعطال، وهما النوعان وبيان الحالة. يتضمن هذا القسم الموضوعات التالية:

تجاوز الفشل العادي
تجاوز الفشل ذو الحالة

تجاوز الفشل العادي

عند حدوث تجاوز فشل، يتم إسقاط جميع الاتصالات النشطة. يحتاج العملاء إلى إعادة إنشاء الاتصالات عند تولي الوحدة النشطة الجديدة زمام الأمور.

تجاوز الفشل ذو الحالة

عند تمكين تجاوز الفشل ذو الحالة، تقوم الوحدة النشطة باستمرار بتمرير معلومات حالة كل اتصال إلى الوحدة الاحتياطية. بعد حدوث تجاوز الفشل، تتوفر نفس معلومات الاتصال في الوحدة النشطة الجديدة. تطبيقات المستخدم النهائي المدعومة غير مطلوبة لإعادة الاتصال للاحتفاظ بنفس جلسة الاتصال.

تتضمن معلومات الحالة التي تم تمريرها إلى الوحدة الاحتياطية ما يلي:

ال nat ترجمة طاولة
حالات اتصال TCP
حالات اتصال UDP
جدول ARP
جدول جسر الطبقة 2 (عندما يتم تشغيله في وضع جدار الحماية الشفاف)
حالات اتصال HTTP (إذا تم تمكين النسخ المتماثل ل HTTP)
جدول ISAKMP و IPSec SA
قاعدة بيانات اتصال GTP PDP

وتتضمن المعلومات التي لا يتم تمريرها إلى وحدة الاستعداد عند تمكين تجاوز الفشل ذي الحالة ما يلي:

جدول اتصال HTTP (ما لم يتم تمكين النسخ المتماثل ل HTTP)
جدول مصادقة المستخدم (uauth)
جداول التوجيه
معلومات الحالة الخاصة بالوحدات النمطية لخدمة الأمان

ملاحظة: إذا حدث تجاوز الفشل داخل جلسة عمل Cisco IP SoftPhone نشطة، فإن المكالمة تظل نشطة لأنه يتم نسخ معلومات حالة جلسة عمل الاتصال إلى الوحدة الاحتياطية. عند إنهاء المكالمة، يفقد عميل IP SoftPhone الاتصال بإدارة المكالمات. يحدث هذا لعدم وجود معلومات جلسة عمل لرسالة تعليق CTIQBE على الوحدة الاحتياطية. عندما لا يتلقى عميل IP SoftPhone إستجابة من "إدارة المكالمات" خلال فترة زمنية معينة، فإنه يعتبر "إدارة المكالمات" غير قابلة للوصول ويلغي التسجيل نفسه.

قيود تكوين تجاوز الفشل

لا يمكنك تكوين تجاوز الفشل باستخدام هذه الأنواع من عناوين IP:

عناوين IP التي تم الحصول عليها من خلال DHCP
عناوين IP التي تم الحصول عليها من خلال PPPoE
عناوين IPv6

وبالإضافة إلى ذلك، تنطبق هذه القيود:

لا يتم دعم تجاوز الفشل ذو الحالة على جهاز الأمان القابل للتكيف طراز ASA 5505.
لا يتم دعم تجاوز الفشل النشط/النشط على جهاز الأمان القابل للتكيف ASA 5505.
لا يمكنك تكوين تجاوز الفشل عندما يتم تمكين ميزة Easy VPN Remote على جهاز الأمان القابل للتكيف ASA 5505.
تجاوز فشل VPN غير مدعوم في وضع السياق المتعدد.

ميزات غير مدعومة

لا يدعم وضع السياق المتعدد هذه الميزات:

بروتوكولات التوجيه الديناميكية

لا تدعم سياقات الأمان إلا المسارات الثابتة. لا يمكنك تمكين OSPF أو RIP في وضع سياق متعدد.
VPN
البث المتعدد

تهيئة نشطة/نشطة لتجاوز الفشل قائمة على الكبلات

المتطلبات الأساسية

قبل البدء، تحقق مما يلي:

وتتميز كل من الوحدتين بنفس الأجهزة وتهيئة البرامج والترخيص المناسب.
كلتا الوحدتين في نفس الوضع (مفردة أو متعددة، شفافة أو موجهة).

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي:

اتبع هذه الخطوات لتكوين تجاوز الفشل النشط/النشط باستخدام كبل تسلسلي كارتباط تجاوز الفشل. يتم إدخال الأوامر الموجودة في هذه المهمة على الوحدة الأساسية في زوج تجاوز الفشل. الوحدة الأساسية هي الوحدة التي تحتوي على نهاية الكبل المسمى "أساسي" الموصل فيها. بالنسبة للأجهزة الموجودة في وضع سياق متعدد، يتم إدخال الأوامر في مساحة تنفيذ النظام ما لم يذكر خلاف ذلك.

لا تحتاج إلى تركيب الوحدة الثانوية في زوج تجاوز الفشل عند إستخدام تجاوز الفشل المستند إلى الكبل. أترك الوحدة الثانوية قيد التشغيل حتى يتم تعليمك بتشغيلها.

ملاحظة: لا يتوفر تجاوز الفشل القائم على الكبلات إلا على جهاز الأمان من السلسلة PIX 500.

أكمل هذه الخطوات لتكوين تجاوز الفشل النشط/النشط القائم على الكبلات:

قم بتوصيل كبل تجاوز الفشل بأجهزة الأمان من السلسلة PIX 500. تأكد من إرفاق نهاية الكبل الذي يحمل علامة "أساسي" بالوحدة التي تستخدمها كوحدة أساسية، وأنك تقوم بإرفاق نهاية الكبل الذي يحمل علامة "ثانوي" بالوحدة التي تستخدمها كوحدة ثانوية.
قم بتشغيل الوحدة الأساسية.
إذا لم تكن قد قمت بذلك بالفعل، قم بتكوين عناوين IP النشطة والاحتياطية لكل واجهة بيانات (الوضع الموجه)، أو لعنوان IP الخاص بالإدارة (الوضع الشفاف)، أو للواجهة الخاصة بالإدارة فقط. يتم إستخدام عنوان IP الاحتياطي على جهاز الأمان الذي يمثل حاليا الوحدة الاحتياطية. يجب أن يكون في الشبكة الفرعية نفسها الخاصة بعنوان IP النشط.

يجب تكوين عناوين الواجهة من داخل كل سياق. أستخدم الأمر changeto context للتبديل بين السياقات. يتغير موجه الأمر إلى hostname/context(config-if)#، حيث يكون السياق اسم السياق الحالي. يجب إدخال عنوان IP للإدارة لكل سياق في وضع سياق متعدد لجدار الحماية الشفاف.

ملاحظة: لا تقم بتكوين عنوان IP لارتباط تجاوز الفشل ذو الحالة إذا كنت ستستخدم واجهة مخصصة لتجاوز الفشل ذات حالة. يمكنك إستخدام أمر تجاوز الفشل لواجهة ip لتكوين واجهة مخصصة للتغلب على الأعطال في خطوة لاحقة.
```
hostname/context(config-if)#ip address active_addr netmask 
                                   standby standby_addr
```
في المثال، يتم تكوين الواجهة الخارجية للسياق 1 ل PIX الأساسي بهذه الطريقة:
```
PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0 
                                    standby 172.16.1.2
```
للسياق 2:
```
PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0 
                                       standby 192.168.2.2
```
في وضع جدار الحماية الموجه ولواجهة الإدارة فقط، يتم إدخال هذا الأمر في وضع تكوين الواجهة لكل واجهة. في وضع جدار الحماية الشفاف، يتم إدخال الأمر في وضع التكوين العام.
لتمكين تجاوز الفشل ذو الحالة، قم بتكوين إرتباط تجاوز الفشل ذو الحالة.
1. حدد الواجهة التي سيتم إستخدامها كارتباط تجاوز الفشل ذو الحالة:
```
hostname(config)#failover link if_name phy_if
```
  في هذا المثال، يتم إستخدام واجهة Ethernet2 لتبادل معلومات حالة إرتباط تجاوز الفشل المعبرة عن الحالة.
```
failover link stateful Ethernet2
```
  تقوم وسيطة if_name بتعيين اسم منطقي للواجهة المحددة بواسطة وسيطة phy_if. يمكن أن تكون وسيطة phy_if هي اسم المنفذ الفعلي، مثل Ethernet1، أو واجهة فرعية تم إنشاؤها مسبقا، مثل Ethernet0/2.3. يجب عدم إستخدام هذه الواجهة لأي غرض آخر (باستثناء إرتباط تجاوز الفشل (إختياريا).
2. تعيين عنوان IP نشط واحتياطي لارتباط تجاوز الفشل ذو الحالة:
```
hostname(config)#failover interface ip if_name ip_addr 
                               mask standby ip_addr
```
  في هذا المثال، يتم إستخدام 10.0.0.1 كعنوان نشط، ويتم إستخدام 10.0.0.2 كعنوان IP إحتياطي لارتباط تجاوز الفشل ذي الحالة.
```
PIX1(config)#failover interface ip stateful 10.0.0.1 
                    255.255.255.0 standby 10.0.0.2
```
  يجب أن يكون عنوان IP الاحتياطي في الشبكة الفرعية نفسها الخاصة بعنوان IP النشط. لا تحتاج إلى تعريف قناع الشبكة الفرعية لعنوان IP الاحتياطي.
  
  لا يتغير عنوان IP لارتباط تجاوز الفشل ذو الحالة وعنوان MAC عند تجاوز الفشل باستثناء عندما يستخدم تجاوز الفشل ذو الحالة واجهة بيانات عادية. يبقى عنوان IP النشط دائما مع الوحدة الأساسية، بينما يبقى عنوان IP الاحتياطي مع الوحدة الثانوية.
3. مكنت القارن:
```
hostname(config)#interface phy_if

hostname(config-if)#no shutdown
```
قم بتكوين مجموعات تجاوز الفشل. يمكن أن يكون لديك مجموعتي تجاوز فشل على الأكثر. يقوم أمر مجموعة تجاوز الفشل بإنشاء مجموعة تجاوز الفشل المحددة إذا لم تكن موجودة ويدخل وضع تكوين مجموعة تجاوز الفشل.

لكل مجموعة تجاوز فشل، تحتاج إلى تحديد ما إذا كانت مجموعة تجاوز الفشل لها تفضيل أساسي أو ثانوي باستخدام الأمر الأساسي أو الثانوي. يمكنك تعيين نفس التفضيل لكل من مجموعتي تجاوز الفشل. لتكوينات موازنة الأحمال، يجب عليك تعيين تفضيل وحدة مختلف لكل مجموعة لتجاوز الفشل.

يعين المثال التالي مجموعة تجاوز الفشل 1 أفضلية أساسية ومجموعة تجاوز الفشل 2 تفضيلا ثانويا:
```
hostname(config)#failover group 1
hostname(config-fover-group)#primary
hostname(config-fover-group)#exit
hostname(config)#failover group 2
hostname(config-fover-group)#secondary
hostname(config-fover-group)#exit
```
قم بتعيين كل سياق مستخدم إلى مجموعة تجاوز فشل باستخدام الأمر join-failover-group في وضع تكوين السياق.

يتم تعيين أي سياقات غير معينة تلقائيا إلى مجموعة تجاوز الفشل 1. دائما ما يكون سياق الإدارة عضوا في مجموعة تجاوز الفشل 1.

أدخل هذه الأوامر لتعيين كل سياق إلى مجموعة تجاوز فشل:
```
hostname(config)#context context_name

hostname(config-context)#join-failover-group {1 | 2}
hostname(config-context)#exit
```
تمكين تجاوز الفشل:
```
hostname(config)#failover
```
قم بتشغيل الوحدة الثانوية وقم بتمكين تجاوز الفشل على الوحدة إذا لم يتم تمكينها بالفعل:
```
hostname(config)#failover
```
ترسل الوحدة النشطة التكوين في الذاكرة قيد التشغيل إلى الوحدة الاحتياطية. مع مزامنة التكوين، تظهر الرسالتان "بدء النسخ المتماثل للتكوين: الإرسال إلى الاقتران" و"إنهاء النسخ المتماثل للتكوين إلى الاقتران" على وحدة التحكم الأساسية.

ملاحظة: قم بإصدار الأمر تجاوز الفشل على الجهاز الأساسي أولا، ثم قم بإصداره على الجهاز الثانوي. بعد إصدار الأمر تجاوز الفشل على الجهاز الثانوي، يقوم الجهاز الثانوي على الفور بسحب التكوين من الجهاز الأساسي وتعيين نفسه على أنه وضع الاستعداد. يبقى ال ASA أساسي فوق ويمرر حركة مرور عادي ويعلم نفسه ك أداة نشط. ومن تلك النقطة فصاعدا، كلما حدث عطل في الجهاز النشط، يظهر الجهاز الاحتياطي نشطا.
احفظ التكوين في ذاكرة Flash (الذاكرة المؤقتة) على الوحدة الأساسية. حيث أنه يتم نسخ الأوامر التي تم إدخالها على الوحدة الأساسية نسخا متماثلا إلى الوحدة الثانوية، فإن الوحدة الثانوية تحفظ أيضا تكوينها إلى ذاكرة Flash (الذاكرة المؤقتة).
```
hostname(config)#copy running-config startup-config
```
عند الضرورة، فرض أي مجموعة تجاوز فشل نشطة في الحالة الأساسية على الحالة النشطة في المرحلة الثانوية. لإجبار مجموعة تجاوز الفشل على أن تصبح نشطة على الوحدة الثانوية، قم بإصدار هذا الأمر في مساحة تنفيذ النظام على الوحدة الأساسية:
```
hostname#no failover active group group_id
```
تحدد وسيطة group_id المجموعة التي تريد أن تصبح نشطة على الوحدة الثانوية.

التكوينات

يستخدم هذا المستند التكوينات التالية:

PIX1 - تكوين النظام
PIX1 - تكوين السياق 1
PIX1 - تكوين السياق2

PIX1 - تكوين النظام
PIX1#show running-config : Saved PIX Version 7.2(2) ! hostname PIX1 enable password 8Ry2YjIyt7RRXU24 encrypted no mac-address auto !--- Enable the physical and logical interfaces in the system execution !--- space by giving "no shutdown" before configuring the same in the contexts ! interface Ethernet0 ! interface Ethernet0.1 vlan 2 ! interface Ethernet0.2 vlan 4 ! interface Ethernet1 ! interface Ethernet1.1 vlan 3 ! interface Ethernet1.2 vlan 5 ! !--- Configure "no shutdown" in the stateful failover interface !--- of both Primary and secondary PIX. interface Ethernet2 description STATE Failover Interface ! interface Ethernet3 shutdown ! interface Ethernet4 shutdown ! interface Ethernet5 shutdown ! class default limit-resource All 0 limit-resource ASDM 5 limit-resource SSH 5 limit-resource Telnet 5 ! ftp mode passive pager lines 24 !--- Command to enable the failover feature failover !--- Command to assign the interface for stateful failover failover link stateful Ethernet2 !--- Command to configure the active and standby IP's for the !--- stateful failover failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2 !--- Configure the group 1 as primary failover group 1 !--- Configure the group 1 as secondary failover group 2 secondary no asdm history enable arp timeout 14400 console timeout 0 admin-context admin context admin config-url flash:/admin.cfg ! !--- Command to create a context called "context1" context context1 !--- Command to allocate the logical interfaces to the contexts allocate-interface Ethernet0.1 inside_context1 allocate-interface Ethernet1.1 outside_context1 config-url flash:/context1.cfg !--- Assign this context to the failover group 1 join-failover-group 1 ! context context2 allocate-interface Ethernet0.2 inside_context2 allocate-interface Ethernet1.2 outside_context2 config-url flash:/context2.cfg join-failover-group 2 ! prompt hostname context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end

PIX1 - تكوين النظام

PIX1#show running-config
: Saved
PIX Version 7.2(2) 
         
         
!
hostname PIX1
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto


!--- Enable the physical and logical interfaces in the system execution !--- space by giving "no shutdown" before configuring the same in the contexts

!
interface Ethernet0
!
interface Ethernet0.1
 vlan 2
!
interface Ethernet0.2
 vlan 4
!
interface Ethernet1
!
interface Ethernet1.1
 vlan 3
!
interface Ethernet1.2
 vlan 5
!

!--- Configure "no shutdown" in the stateful failover interface !--- of both Primary and secondary PIX.

interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 shutdown
!
interface Ethernet4
 shutdown
!
interface Ethernet5
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24

!--- Command to enable the failover feature

failover

!--- Command to assign the interface for stateful failover

failover link stateful Ethernet2

!--- Command to configure the active and standby IP's for the !--- stateful failover

failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2

!--- Configure the group 1 as primary

failover group 1

!--- Configure the group 1 as secondary

failover group 2
  secondary
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  config-url flash:/admin.cfg
!

!--- Command to create a context called "context1"

context context1

!--- Command to allocate the logical interfaces to the contexts

  allocate-interface Ethernet0.1 inside_context1
  allocate-interface Ethernet1.1 outside_context1
  config-url flash:/context1.cfg

!--- Assign this context to the failover group 1

  join-failover-group 1
!

context context2
  allocate-interface Ethernet0.2 inside_context2
  allocate-interface Ethernet1.2 outside_context2
  config-url flash:/context2.cfg
  join-failover-group 2
!

prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

PIX1 - تكوين السياق 1
PIX1/context1(config)#show running-config : Saved : PIX Version 7.2(2) ! hostname context1 enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface inside_context1 nameif inside security-level 100 !--- Configure the active and standby IP's for the logical inside !--- interface of the context1. ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2 ! interface outside_context1 nameif outside security-level 0 !--- Configure the active and standby IP's for the logical outside !--- interface of the context1. ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2 ! passwd 2KFQnbNIdI.2KYOU encrypted access-list 100 extended permit tcp any host 172.16.1.1 eq www pager lines 24 mtu inside 1500 mtu outside 1500 monitor-interface inside monitor-interface outside icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 static (inside,outside) 172.16.1.1 192.168.1.5 netmask 255.255.255.255 access-group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.16.1.3 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact telnet timeout 5 ssh timeout 5 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global Cryptochecksum:00000000000000000000000000000000 : end

PIX1 - تكوين السياق 1

PIX1/context1(config)#show running-config
: Saved
:
PIX Version 7.2(2) 
         
         
!
hostname context1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside_context1
 nameif inside
 security-level 100

!--- Configure the active and standby IP's for the logical inside !--- interface of the context1.

 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!
interface outside_context1
 nameif outside
 security-level 0

!--- Configure the active and standby IP's for the logical outside !--- interface of the context1.

 ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list 100 extended permit tcp any host 172.16.1.1 eq www
pager lines 24
mtu inside 1500
mtu outside 1500
monitor-interface inside
monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (inside,outside) 172.16.1.1 192.168.1.5 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

PIX1 - تكوين السياق2
PIX1/context2(config)#show running-config : Saved : PIX Version 7.2(2) ! hostname context2 enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface inside_context2 nameif inside security-level 100 !--- Configure the active and standby IP's for the logical inside !--- interface of the context2. ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2 ! interface outside_context2 nameif outside security-level 0 !--- Configure the active and standby IP's for the logical outside !--- interface of the context2. ip address 172.16.2.1 255.255.255.0 standby 172.16.2.2 ! passwd 2KFQnbNIdI.2KYOU encrypted access-list 100 extended permit tcp any host 172.16.2.1 eq www pager lines 24 mtu inside 1500 mtu outside 1500 monitor-interface inside monitor-interface outside icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 static (inside,outside) 172.16.2.1 192.168.2.5 netmask 255.255.255.255 access-group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.16.2.3 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact telnet timeout 5 ssh timeout 5 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global Cryptochecksum:00000000000000000000000000000000 : end

PIX1 - تكوين السياق2

PIX1/context2(config)#show running-config
: Saved
:
PIX Version 7.2(2) 
         
         
!
hostname context2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface inside_context2
 nameif inside
 security-level 100

!--- Configure the active and standby IP's for the logical inside !--- interface of the context2.

 ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
!
interface outside_context2
 nameif outside
 security-level 0

!--- Configure the active and standby IP's for the logical outside !--- interface of the context2.

 ip address 172.16.2.1 255.255.255.0 standby 172.16.2.2
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list 100 extended permit tcp any host 172.16.2.1 eq www
pager lines 24
mtu inside 1500
mtu outside 1500
monitor-interface inside
monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (inside,outside) 172.16.2.1 192.168.2.5 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.2.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end

تكوين نشط/نشط لتجاوز الفشل مستند إلى شبكة LAN

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي:

يوضح هذا القسم كيفية تكوين تجاوز الفشل النشط/النشط باستخدام إرتباط تجاوز فشل شبكة إيثرنت. عند تكوين تجاوز الفشل المستند إلى شبكة LAN، يجب عليك تمهيد الجهاز الثانوي للتعرف على إرتباط تجاوز الفشل قبل أن يتمكن الجهاز الثانوي من الحصول على التكوين الجاري تشغيله من الجهاز الأساسي.

ملاحظة: بدلا من إستخدام كبل إيثرنت عكسي لربط الوحدات مباشرة، توصي Cisco باستخدام محول مخصص بين الوحدات الأساسية والثانوية.

يتضمن هذا القسم الموضوعات كما هو موضح:

تكوين الوحدة الأساسية
تكوين الوحدة الثانوية

تكوين الوحدة الأساسية

أكمل هذه الخطوات لتكوين الوحدة الأساسية في تكوين نشط/نشط لتجاوز الفشل:

إذا لم تكن قد قمت بذلك بالفعل، قم بتكوين عناوين IP النشطة والاحتياطية لكل واجهة بيانات (الوضع الموجه)، أو لعنوان IP الخاص بالإدارة (الوضع الشفاف)، أو للواجهة الخاصة بالإدارة فقط. يتم إستخدام عنوان IP الاحتياطي على جهاز الأمان الذي يمثل حاليا الوحدة الاحتياطية. يجب أن يكون في الشبكة الفرعية نفسها الخاصة بعنوان IP النشط.

يجب تكوين عناوين الواجهة من داخل كل سياق. أستخدم الأمر changeto context للتبديل بين السياقات. يتغير موجه الأمر إلى hostname/context(config-if)#، حيث يكون السياق اسم السياق الحالي. في وضع جدار الحماية الشفاف، يجب إدخال عنوان IP للإدارة لكل سياق.

ملاحظة: لا تقم بتكوين عنوان IP لارتباط تجاوز الفشل ذو الحالة إذا كنت ستستخدم واجهة مخصصة لتجاوز الفشل ذات حالة. يمكنك إستخدام أمر تجاوز الفشل لواجهة ip لتكوين واجهة مخصصة للتغلب على الأعطال في خطوة لاحقة.
```
hostname/context(config-if)#ip address active_addr netmask 
                                   standby standby_addr
```
في المثال، يتم تكوين الواجهة الخارجية للسياق 1 ل PIX الأساسي بهذه الطريقة:
```
PIX1/context1(config)#ip address 172.16.1.1 255.255.255.0 
                                     standby 172.16.1.2
```
للسياق 2:
```
PIX1/context2(config)#ip address 192.168.2.1 255.255.255.0 
                                     standby 192.168.2.2
```
في وضع جدار الحماية الموجه ولواجهة الإدارة فقط، يتم إدخال هذا الأمر في وضع تكوين الواجهة لكل واجهة. في وضع جدار الحماية الشفاف، يتم إدخال الأمر في وضع التكوين العام.
قم بتكوين معلمات تجاوز الفشل الأساسية في مساحة تنفيذ النظام.
1. (جهاز أمان PIX فقط) تمكين التغلب على الأعطال القائم على الشبكة المحلية (LAN):
```
hostname(config)#failover lan enable
```
2. تعيين الوحدة كوحدة رئيسية:
```
hostname(config)#failover lan unit primary
```
3. حدد إرتباط تجاوز الفشل:
```
hostname(config)#failover lan interface if_name phy_if
```
  في هذا المثال، نستخدم الواجهة إيثرنت 3 كواجهة تجاوز الفشل المستندة إلى شبكة LAN.
```
PIX1(config)#failover lan interface LANFailover ethernet3
```
  تقوم وسيطة if_name بتعيين اسم منطقي للواجهة المحددة بواسطة وسيطة phy_if. يمكن أن تكون وسيطة phy_if هي اسم المنفذ الفعلي، مثل Ethernet1، أو واجهة فرعية تم إنشاؤها مسبقا، مثل Ethernet0/2.3. في جهاز الأمان القابل للتكيف ASA 5505، يحدد PHY_IF شبكة VLAN. لا يجب إستخدام هذه الواجهة لأي غرض آخر (باستثناء إرتباط تجاوز الفشل ذو الحالة (إختياريا).
4. حدد عناوين IP النشطة وحديثة الاستعداد لارتباط تجاوز الفشل:
```
hostname(config)#failover interface ip if_name ip_addr 
                               mask standby ip_addr
```
  على سبيل المثال، نستخدم 10.1.0.1 كنشاط و 10.1.0.2 كعناوين IP إحتياطية لواجهة تجاوز الفشل.
```
PIX1(config)#failover interface ip LANFailover 
      10.1.0.1 255.255.255.0 standby 10.1.0.2
```
  يجب أن يكون عنوان IP الاحتياطي في الشبكة الفرعية نفسها الخاصة بعنوان IP النشط. لا تحتاج إلى تعريف قناع الشبكة الفرعية لعنوان IP الاحتياطي. لا يتغير عنوان IP لارتباط تجاوز الفشل وعنوان MAC عند تجاوز الفشل. يبقى عنوان IP النشط دائما مع الوحدة الأساسية، بينما يبقى عنوان IP الاحتياطي مع الوحدة الثانوية.
لتمكين تجاوز الفشل ذو الحالة، قم بتكوين إرتباط تجاوز الفشل ذو الحالة:
1. حدد الواجهة التي سيتم إستخدامها كارتباط تجاوز الفشل ذو الحالة:
```
hostname(config)#failover link if_name phy_if
```
```
PIX1(config)#failover link stateful ethernet2
```
  تقوم وسيطة if_name بتعيين اسم منطقي للواجهة المحددة بواسطة وسيطة phy_if. يمكن أن تكون وسيطة phy_if هي اسم المنفذ الفعلي، مثل Ethernet1، أو واجهة فرعية تم إنشاؤها مسبقا، مثل Ethernet0/2.3. يجب عدم إستخدام هذه الواجهة لأي غرض آخر (باستثناء إرتباط تجاوز الفشل (إختياريا).
  
  ملاحظة: إذا كان إرتباط تجاوز الفشل ذو الحالة يستخدم إرتباط تجاوز الفشل أو واجهة البيانات العادية، فأنت بحاجة فقط إلى توفير وسيطة if_name.
2. قم بتعيين عنوان IP نشط واحتياطي لارتباط تجاوز الفشل ذو الحالة.
  
  ملاحظة: إذا كان إرتباط تجاوز الفشل ذو الحالة يستخدم إرتباط تجاوز الفشل أو واجهة بيانات عادية، فقم بتخطي هذه الخطوة. لقد قمت بالفعل بتعريف عناوين IP النشطة والاحتياطية للواجهة.
```
hostname(config)#failover interface ip if_name ip_addr 
                               mask standby ip_addr
```
```
PIX1(config)#failover interface ip stateful 10.0.0.1 
                    255.255.255.0 standby 10.0.0.2
```
  يجب أن يكون عنوان IP الاحتياطي في الشبكة الفرعية نفسها الخاصة بعنوان IP النشط. لا تحتاج إلى تعريف قناع الشبكة الفرعية للعنوان الاحتياطي. لا يتغير عنوان IP لارتباط الحالة وعنوان MAC عند تجاوز الفشل. يبقى عنوان IP النشط دائما مع الوحدة الأساسية، بينما يبقى عنوان IP الاحتياطي مع الوحدة الثانوية.
3. مكنت القارن.
  
  ملاحظة: إذا كان إرتباط تجاوز الفشل ذو الحالة يستخدم إرتباط تجاوز الفشل أو واجهة البيانات العادية، فقم بتخطي هذه الخطوة. لقد قمت بتمكين الواجهة بالفعل.
```
hostname(config)#interface phy_if

hostname(config-if)#no shutdown
```
قم بتكوين مجموعات تجاوز الفشل. يمكن أن يكون لديك مجموعتي تجاوز فشل على الأكثر. يقوم أمر مجموعة تجاوز الفشل بإنشاء مجموعة تجاوز الفشل المحددة إذا لم تكن موجودة ويدخل وضع تكوين مجموعة تجاوز الفشل.

بالنسبة لكل مجموعة تجاوز فشل، حدد ما إذا كانت مجموعة تجاوز الفشل لها تفضيل أساسي أو ثانوي باستخدام الأمر الأساسي أو الثانوي. يمكنك تعيين نفس التفضيل لكل من مجموعتي تجاوز الفشل. لتكوينات موازنة الأحمال، يجب عليك تعيين تفضيل وحدة مختلف لكل مجموعة لتجاوز الفشل.

يعين المثال التالي مجموعة تجاوز الفشل 1 أفضلية أساسية ومجموعة تجاوز الفشل 2 تفضيلا ثانويا:
```
hostname(config)#failover group 1
hostname(config-fover-group)#primary
hostname(config-fover-group)#exit
hostname(config)#failover group 2
hostname(config-fover-group)#secondary
hostname(config-fover-group)#exit
```
قم بتعيين كل سياق مستخدم إلى مجموعة تجاوز فشل باستخدام الأمر join-failover-group في وضع تكوين السياق.

يتم تعيين أي سياقات غير معينة تلقائيا إلى مجموعة تجاوز الفشل 1. دائما ما يكون سياق الإدارة عضوا في مجموعة تجاوز الفشل 1.

أدخل هذه الأوامر لتعيين كل سياق إلى مجموعة تجاوز فشل:
```
hostname(config)#context context_name

hostname(config-context)#join-failover-group {1 | 2}
hostname(config-context)#exit
```
تمكين تجاوز الفشل.
```
hostname(config)#failover
```

تكوين الوحدة الثانوية

عند تكوين تجاوز الفشل النشط/النشط القائم على شبكة LAN، يلزمك تمهيد الوحدة الثانوية للتعرف على إرتباط تجاوز الفشل. وهذا يسمح للوحدة الثانوية بالاتصال بالتكوين الجاري تشغيله واستقباله من الوحدة الأساسية.

أكمل هذه الخطوات لتمهيد الوحدة الثانوية في تكوين تجاوز الفشل النشط/النشط:

(جهاز أمان PIX فقط) تمكين تجاوز الفشل المستند إلى شبكة LAN.
```
hostname(config)#failover lan enable
```
تحديد واجهة تجاوز الفشل. أستخدم نفس الإعدادات التي أستخدمتها للوحدة الأساسية:
1. حدد الواجهة التي سيتم إستخدامها كواجهة تجاوز الفشل.
```
hostname(config)#failover lan interface if_name phy_if
```
```
PIX1(config)#failover lan interface LANFailover ethernet3
```
  تقوم وسيطة if_name بتعيين اسم منطقي للواجهة المحددة بواسطة وسيطة phy_if. يمكن أن تكون وسيطة phy_if هي اسم المنفذ الفعلي، مثل Ethernet1، أو واجهة فرعية تم إنشاؤها مسبقا، مثل Ethernet0/2.3. في جهاز الأمان القابل للتكيف ASA 5505، يحدد PHY_IF شبكة VLAN.
2. قم بتعيين عنوان IP النشط والاحتياطي لارتباط تجاوز الفشل:
```
hostname(config)#failover interface ip if_name ip_addr 
                               mask standby ip_addr
```
```
PIX1(config)#failover interface ip LANFailover 10.1.0.1 
                       255.255.255.0 standby 10.1.0.2
```
  ملاحظة: أدخل هذا الأمر تماما كما أدخلته على الوحدة الأساسية عند تكوين واجهة تجاوز الفشل.
  
  يجب أن يكون عنوان IP الاحتياطي في الشبكة الفرعية نفسها الخاصة بعنوان IP النشط. لا تحتاج إلى تعريف قناع الشبكة الفرعية للعنوان الاحتياطي.
3. مكنت القارن.
```
hostname(config)#interface phy_if

hostname(config-if)#no shutdown
```
تعيين هذه الوحدة كوحدة ثانوية:
```
hostname(config)#failover lan unit secondary
```
ملاحظة: هذه الخطوة إختيارية لأنه يتم تعيين الوحدات الثانوية بشكل افتراضي ما لم يتم تكوينها مسبقا بطريقة أخرى.
تمكين تجاوز الفشل.
```
hostname(config)#failover
```
بعد تمكين تجاوز الفشل، ترسل الوحدة النشطة التكوين في الذاكرة قيد التشغيل إلى الوحدة الاحتياطية. مع مزامنة التكوين، تظهر الرسائل التي تبدأ عملية النسخ المتماثل للتكوين: الإرسال إلى الاقتران والنهاية لإجراء النسخ المتماثل على وحدة التحكم النشطة للوحدة.

ملاحظة: قم بإصدار الأمر تجاوز الفشل على الجهاز الأساسي أولا، ثم قم بإصداره على الجهاز الثانوي. بعد إصدار الأمر تجاوز الفشل على الجهاز الثانوي، يقوم الجهاز الثانوي على الفور بسحب التكوين من الجهاز الأساسي وتعيين نفسه على أنه وضع الاستعداد. يبقى ال ASA أساسي فوق ويمرر حركة مرور عادي ويعلم نفسه ك أداة نشط. ومن تلك النقطة فصاعدا، كلما حدث عطل في الجهاز النشط، يظهر الجهاز الاحتياطي نشطا.
بعد أن ينتهي التكوين الجاري تشغيله من النسخ المتماثل، أدخل هذا الأمر لحفظ التكوين في ذاكرة Flash (الذاكرة المؤقتة):
```
hostname(config)#copy running-config startup-config
```
عند الضرورة، فرض أي مجموعة تجاوز فشل نشطة على الحالة الأساسية إلى الحالة النشطة على الوحدة الثانوية. لإجبار مجموعة تجاوز الفشل على أن تصبح نشطة على الوحدة الثانوية، أدخل هذا الأمر في مساحة تنفيذ النظام على الوحدة الأساسية:
```
hostname#no failover active group group_id
```
تحدد وسيطة group_id المجموعة التي تريد أن تصبح نشطة على الوحدة الثانوية.

التكوينات

يستخدم هذا المستند التكوينات التالية:

PIX الأساسي
PIX1(config)#show running-config : Saved : PIX Version 7.2(2) <system> ! hostname PIX1 enable password 8Ry2YjIyt7RRXU24 encrypted no mac-address auto ! interface Ethernet0 ! interface Ethernet0.1 vlan 2 ! interface Ethernet0.2 vlan 4 ! interface Ethernet1 ! interface Ethernet1.1 vlan 3 ! interface Ethernet1.2 vlan 5 ! !--- Configure "no shutdown" in the stateful failover interface as well as !--- LAN Failover interface of both Primary and secondary PIX/ASA. interface Ethernet2 description STATE Failover Interface ! interface Ethernet3 description LAN Failover Interface ! interface Ethernet4 shutdown ! interface Ethernet5 shutdown ! class default limit-resource All 0 limit-resource ASDM 5 limit-resource SSH 5 limit-resource Telnet 5 ! ftp mode passive pager lines 24 failover failover lan unit primary !--- Command to assign the interface for LAN based failover failover lan interface LANFailover Ethernet3 !--- Command to enable the LAN based failover failover lan enable !--- Configure the Authentication/Encryption key failover key *** failover link stateful Ethernet2** !--- Configure the active and standby IP's for the LAN based failover failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2 failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2 failover group 1 failover group 2 secondary no asdm history enable arp timeout 14400 console timeout 0 admin-context admin context admin config-url flash:/admin.cfg ! context context1 allocate-interface Ethernet0.1 inside_context1 allocate-interface Ethernet1.1 outside_context1 config-url flash:/context1.cfg join-failover-group 1 ! context context2 allocate-interface Ethernet0.2 inside_context2 allocate-interface Ethernet1.2 outside_context2 config-url flash:/context2.cfg join-failover-group 2 ! prompt hostname context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end

PIX الأساسي

PIX1(config)#show running-config
: Saved
:
PIX Version 7.2(2) <system>
!
hostname PIX1
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface Ethernet0
!
interface Ethernet0.1
 vlan 2
!
interface Ethernet0.2
 vlan 4
!
interface Ethernet1
!
interface Ethernet1.1
 vlan 3
!
interface Ethernet1.2
 vlan 5
!

!--- Configure "no shutdown" in the stateful failover interface as well as !--- LAN Failover interface of both Primary and secondary PIX/ASA.

interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 description LAN Failover Interface
!
interface Ethernet4
 shutdown
!
interface Ethernet5
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
failover
failover lan unit primary

!--- Command to assign the interface for LAN based failover

failover lan interface LANFailover Ethernet3

!--- Command to enable the LAN based failover

failover lan enable

!--- Configure the Authentication/Encryption key

failover key *****
failover link stateful Ethernet2

!--- Configure the active and standby IP's for the LAN based failover

failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip stateful 10.0.0.1 255.255.255.0 standby 10.0.0.2
failover group 1
failover group 2
  secondary
no asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  config-url flash:/admin.cfg
!

context context1
  allocate-interface Ethernet0.1 inside_context1
  allocate-interface Ethernet1.1 outside_context1
  config-url flash:/context1.cfg
  join-failover-group 1
!

context context2
  allocate-interface Ethernet0.2 inside_context2
  allocate-interface Ethernet1.2 outside_context2
  config-url flash:/context2.cfg
  join-failover-group 2
!

prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

ملاحظة: ارجع إلى قسم تكوين تجاوز الفشل المستند إلى الكبل، وPIX1 - تكوين السياق 1 وPIX1 - تكوين السياق 2 لتكوين السياق في سيناريو تجاوز الفشل المستند إلى شبكة LAN.

PIX الثانوي
PIX2#show running-config failover failover lan unit secondary failover lan interface LANFailover Ethernet3 failover lan enable failover key ***** failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2

PIX الثانوي

PIX2#show running-config 

failover
failover lan unit secondary
failover lan interface LANFailover Ethernet3
failover lan enable
failover key *****
failover interface ip LANFailover 10.1.0.1 255.255.255.0 standby 10.1.0.2

التحقق من الصحة

إستخدام أمر show failover

يصف هذا القسم إخراج أمر show fail over. على كل وحدة، يمكنك التحقق من حالة تجاوز الفشل باستخدام الأمر show failover.

PIX الأساسي

PIX1(config-subif)#show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: LANFailover Ethernet3 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 7.2(2), Mate 7.2(2)
Group 1 last failover at: 06:12:45 UTC Apr 16 2007
Group 2 last failover at: 06:12:43 UTC Apr 16 2007

  This host:    Primary
  Group 1       State:          Active
                Active time:    359610 (sec)
  Group 2       State:          Standby Ready
                Active time:    3165 (sec)

                  context1 Interface inside (192.168.1.1): Normal
                  context1 Interface outside (172.16.1.1): Normal
                  context2 Interface inside (192.168.2.2): Normal
                  context2 Interface outside (172.16.2.2): Normal

  Other host:   Secondary
  Group 1       State:          Standby Ready
                Active time:    0 (sec)
  Group 2       State:          Active
                Active time:    3900 (sec)

                  context1 Interface inside (192.168.1.2): Normal
                  context1 Interface outside (172.16.1.2): Normal
                  context2 Interface inside (192.168.2.1): Normal
                  context2 Interface outside (172.16.2.1): Normal

Stateful Failover Logical Update Statistics
        Link : stateful Ethernet2 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         48044      0          48040      1
        sys cmd         48042      0          48040      1
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         2          0          0          0
        Xlate_Timeout   0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       72081
        Xmit Q:         0       1       48044

PIX الثانوي

PIX1(config)#show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Secondary
Failover LAN Interface: LANFailover Ethernet3 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 7.2(2), Mate 7.2(2)
Group 1 last failover at: 06:12:46 UTC Apr 16 2007
Group 2 last failover at: 06:12:41 UTC Apr 16 2007

  This host:    Secondary
  Group 1       State:          Standby Ready
                Active time:    0 (sec)
  Group 2       State:          Active
                Active time:    3975 (sec)

                  context1 Interface inside (192.168.1.2): Normal
                  context1 Interface outside (172.16.1.2): Normal
                  context2 Interface inside (192.168.2.1): Normal
                  context2 Interface outside (172.16.2.1): Normal

  Other host:   Primary
  Group 1       State:          Active
                Active time:    359685 (sec)
  Group 2       State:          Standby Ready
                Active time:    3165 (sec)

                  context1 Interface inside (192.168.1.1): Normal
                  context1 Interface outside (172.16.1.1): Normal
                  context2 Interface inside (192.168.2.2): Normal
                  context2 Interface outside (172.16.2.2): Normal

Stateful Failover Logical Update Statistics
        Link : stateful Ethernet2 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         940        0          942        2
        sys cmd         940        0          940        2
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          2          0
        Xlate_Timeout   0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       1419
        Xmit Q:         0       1       940

أستخدم الأمر show failover state للتحقق من الحالة.

PIX الأساسي

PIX1(config)#show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
    Group 1    Active         None
    Group 2    Standby Ready  None
Other host -   Secondary
    Group 1    Standby Ready  None
    Group 2    Active         None

====Configuration State===
        Sync Done
====Communication State===
        Mac set

الوحدة الثانوية

PIX1(config)#show failover state

               State          Last Failure Reason      Date/Time
This host  -   Secondary
    Group 1    Standby Ready  None
    Group 2    Active         None
Other host -   Primary
    Group 1    Active         None
    Group 2    Standby Ready  None

====Configuration State===
        Sync Done - STANDBY
====Communication State===
        Mac set

للتحقق من عناوين IP الخاصة بوحدة تجاوز الفشل، أستخدم الأمر show failed over interface.

الوحدة الأساسية

PIX1(config)#show failover interface
        interface stateful Ethernet2
                System IP Address: 10.0.0.1 255.255.255.0
                My IP Address    : 10.0.0.1
                Other IP Address : 10.0.0.2
        interface LANFailover Ethernet3
                System IP Address: 10.1.0.1 255.255.255.0
                My IP Address    : 10.1.0.1
                Other IP Address : 10.1.0.2

الوحدة الثانوية

PIX1(config)#show failover interface
        interface LANFailover Ethernet3
                System IP Address: 10.1.0.1 255.255.255.0
                My IP Address    : 10.1.0.2
                Other IP Address : 10.1.0.1
        interface stateful Ethernet2
                System IP Address: 10.0.0.1 255.255.255.0
                My IP Address    : 10.0.0.2
                Other IP Address : 10.0.0.1

عرض الواجهات المراقبة

دخلت in order to شاهدت الحالة من monitore قارن: في وحيد سياق أسلوب، العرض مدرب-قارن أمر في شامل تشكيل أسلوب. دخلت في يتعدد سياق أسلوب، العرض مدرب-قارن ضمن سياق.

ملاحظة: لتمكين مراقبة السلامة على واجهة معينة، أستخدم الأمر monitor-interface في وضع التكوين العام:

monitor-interface <if_name>

PIX الأساسي

PIX1/context1(config)#show monitor-interface
        This host: Secondary - Active
                Interface inside (192.168.1.1): Normal
                Interface outside (172.16.1.1): Normal
        Other host: Secondary - Standby Ready
                Interface inside (192.168.1.2): Normal
                Interface outside (172.16.1.2): Normal

PIX الثانوي

PIX1/context1(config)#show monitor-interface
        This host: Secondary - Standby Ready
                Interface inside (192.168.1.2): Normal
                Interface outside (172.16.1.2): Normal
        Other host: Secondary - Active
                Interface inside (192.168.1.1): Normal
                Interface outside (172.16.1.1): Normal

ملاحظة: إذا لم تقم بإدخال عنوان IP لتجاوز الفشل، يعرض الأمر show failover 0.0.0 لعنوان IP، وتبقى مراقبة الواجهات في حالة "انتظار". يجب عليك تعيين عنوان IP لتجاوز الفشل حتى تعمل ميزة تجاوز الفشل. لمزيد من المعلومات حول حالات تجاوز الفشل المختلفة، ارجع إلى إظهار تجاوز الفشل.

وبشكل افتراضي، يتم تمكين مراقبة الواجهات المادية، ويتم تعطيل مراقبة الواجهات الفرعية.

عرض أوامر تجاوز الفشل في التكوين الجاري تشغيله

لعرض أوامر تجاوز الفشل في التكوين الجاري، أدخل هذا الأمر:

hostname(config)#show running-config failover

يتم عرض جميع أوامر تجاوز الفشل. على الوحدات التي تعمل في وضع سياق متعدد، أدخل الأمر show running-config failover في مساحة تنفيذ النظام. أدخل الأمر show running-config all failed over لعرض أوامر تجاوز الفشل في التكوين الجاري وتضمين الأوامر التي لم تقم بتغيير القيمة الافتراضية لها.

إختبارات وظائف تجاوز الفشل

لاختبار وظائف تجاوز الفشل، قم بإجراء الخطوات التالية:

اختبر أن الوحدة النشطة أو مجموعة تجاوز الفشل تتجاوز حركة مرور البيانات كما هو متوقع مع FTP (على سبيل المثال) لإرسال ملف بين الأجهزة المضيفة على الواجهات المختلفة.
فرض تجاوز الفشل على الوحدة الاحتياطية باستخدام هذا الأمر:
- بالنسبة لتجاوز الفشل النشط/النشط، أدخل الأمر التالي على الوحدة التي تكون فيها مجموعة تجاوز الفشل التي تحتوي على الواجهة التي تصل بمضيفيك نشطة:
```
hostname(config)#no failover active group group_id
```
أستخدم FTP لإرسال ملف آخر بين نفس مضيفين.
إذا لم يكن الاختبار ناجحا، فأدخل الأمر show failover للتحقق من حالة تجاوز الفشل.
عند الانتهاء، يمكنك إستعادة الوحدة أو مجموعة تجاوز الفشل إلى الحالة النشطة باستخدام هذا الأمر:
- بالنسبة لتجاوز الفشل النشط/النشط، أدخل الأمر التالي على الوحدة التي تكون فيها مجموعة تجاوز الفشل التي تحتوي على الواجهة التي تصل بمضيفيك نشطة:
```
hostname(config)#failover active group group_id
```

تجاوز الفشل المفروض

لإجبار الوحدة الاحتياطية على أن تصبح نشطة، أدخل أحد الأوامر التالية:

أدخل هذا الأمر في مساحة تنفيذ النظام للوحدة حيث تكون مجموعة تجاوز الفشل في حالة الاستعداد:

hostname#failover active group group_id

أو، أدخل هذا الأمر في مساحة تنفيذ النظام للوحدة حيث تكون مجموعة تجاوز الفشل في الحالة النشطة:

hostname#no failover active group group_id

يؤدي إدخال هذا الأمر في مساحة تنفيذ النظام إلى تنشيط كافة مجموعات تجاوز الفشل:

hostname#failover active

تجاوز الفشل المعطل

دخلت in order to أعجزت تجاوز الفشل، هذا أمر:

hostname(config)#no failover

إذا قمت بتعطيل تجاوز الفشل على زوج نشط/إحتياطي، فإنه يؤدي إلى الحفاظ على حالة الاستعداد والنشاط لكل وحدة حتى تقوم بإعادة التشغيل. على سبيل المثال، تبقى الوحدة الاحتياطية في وضع الاستعداد بحيث لا تبدأ كلتا الوحدتين في تمرير حركة مرور البيانات. لجعل الوحدة الاحتياطية نشطة (حتى مع تعطيل تجاوز الفشل)، راجع قسم تجاوز الفشل الإجباري.

إذا قمت بتعطيل تجاوز الفشل على زوج نشط/نشط، فإنه يتسبب في بقاء مجموعات تجاوز الفشل في الحالة النشطة على أي وحدة هي نشطة فيها حاليا، بغض النظر عن الوحدة التي تم تكوينها لتفضلها. يمكن إدخال الأمر no fail over في مساحة تنفيذ النظام.

إستعادة وحدة معطلة

دخلت in order to أحيات فاشل Active/Active تجاوز الفشل مجموعة إلى حالة غير فاشل، هذا أمر:

hostname(config)#failover reset group group_id

إذا قمت باستعادة وحدة معطلة إلى حالة عدم فشل، فإنها لا تجعلها نشطة تلقائيا؛ حيث تبقى الوحدات أو المجموعات التي تمت استعادتها في حالة الاستعداد حتى تصبح نشطة من خلال تجاوز الفشل (سواء كان ذلك مفروضا أو طبيعيا). والاستثناء هو مجموعة تجاوز الفشل التي تم تكوينها باستخدام الأمر الوقائي. إذا كانت نشطة في السابق، فإن مجموعة تجاوز الفشل تصبح نشطة إذا تم تكوينها باستخدام الأمر الوقائي وإذا كانت الوحدة التي فشلت فيها هي وحدتها المفضلة.

إستبدال الوحدة الفاشلة بوحدة جديدة

أتمت هذا steps in order to استبدلت وحدة failed بوحدة جديدة:

قم بتشغيل الأمر no fail over على الوحدة الأساسية.

تظهر حالة الوحدة الثانوية الوحدة الاحتياطية على أنها غير مكتشفة.
قم بفصل الوحدة الأساسية، ثم قم بتوصيل الوحدة الأساسية البديلة.
تحقق من أن الوحدة البديلة تشغل نفس البرنامج وإصدار ASDM الخاصين بالوحدة الثانوية.

قم بتشغيل هذه الأوامر على الوحدة البديلة:

ASA(config)#failover lan unit primary 
ASA(config)#failover lan interface failover Ethernet3
ASA(config)#failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
ASA(config)#interface Ethernet3
ASA(config-if)#no shut 
ASA(config-if)#exit

قم بتوصيل الوحدة الأساسية البديلة بالشبكة، ثم قم بتشغيل هذا الأمر:
```
ASA(config)#failover
```

استكشاف الأخطاء وإصلاحها

عند حدوث تجاوز للفشل، يقوم كلا جهازي الأمان بإرسال رسائل النظام. يتضمن هذا القسم الموضوعات التالية:

رسائل نظام تجاوز الفشل
رسائل تصحيح الأخطاء
SNMP

رسائل نظام تجاوز الفشل

يصدر جهاز الأمان عددا من رسائل النظام المتعلقة بتجاوز الفشل على مستوى الأولوية 2، مما يشير إلى وجود حالة حرجة. لعرض هذه الرسائل، ارجع إلى تكوين تسجيل دخول جهاز الأمان من Cisco ورسائل سجل النظام لتمكين التسجيل ورؤية أوصاف رسائل النظام.

ملاحظة: من خلال عملية التحويل، يتم إيقاف عملية تجاوز الفشل بشكل منطقي ثم يتم جلب الواجهات، التي تقوم بإنشاء رسائل 411001 و411002. هذا هو النشاط الطبيعي.

إتصالات تجاوز الفشل الأساسية المفقودة مع رفيق الزواج على interface_name

يتم عرض رسالة تجاوز الفشل هذه إذا لم تعد وحدة واحدة من زوج تجاوز الفشل قادرة على الاتصال بالوحدة الأخرى من الزوج. كما يمكن إدراج الأساسي على أنه ثانوي للوحدة الثانوية.

(أساسي) فقد الاتصالات مع رفيق الزواج عبر الواجهة_name لتجاوز الفشل

تحقق من عمل الشبكة المتصلة بالواجهة المحددة بشكل صحيح.

رسائل تصحيح الأخطاء

لعرض رسائل تصحيح الأخطاء، أدخل الأمر debug fover. راجع مرجع أمر جهاز الأمان من Cisco، الإصدار 7.2 للحصول على مزيد من المعلومات.

ملاحظة: نظرا لأن إخراج تصحيح الأخطاء يتم تعيينه كأولوية عالية في عملية وحدة المعالجة المركزية، فقد يؤثر ذلك بشكل كبير على أداء النظام. ولهذا السبب، أستخدم أوامر تصحيح الأخطاء فقط لاستكشاف أخطاء معينة وإصلاحها أو داخل جلسات أستكشاف الأخطاء وإصلاحها مع موظفي الدعم الفني من Cisco.

SNMP

من أجل إستقبال ملائمات SNMP syslog لتجاوز الفشل، قم بتكوين عميل SNMP لإرسال ملائمات SNMP إلى محطات إدارة SNMP، وتحديد مضيف syslog، وتجميع قاعدة معلومات الإدارة (MIB) ل Cisco syslog في محطة إدارة SNMP لديك. راجع أوامر خادم snmp وlogging في مرجع أوامر جهاز الأمان من Cisco، الإصدار 7.2 للحصول على مزيد من المعلومات.

زمن تجاوز الفشل

لتحديد وقت إجراء إستطلاع وحدة تجاوز الفشل وأوقات الانتظار، قم بإصدار الأمر تجاوز الفشل لوقت الانتظار في وضع التكوين العام.

تمثل وحدة زمن تجاوز الفشل [time] الفاصل الزمني للتحقق من وجود وحدة الاستعداد عن طريق رسائل الترحيب بالاستطلاع.

وعلى نحو مماثل، تمثل وحدة وقت تجاوز الفشل في الثانية [الوقت] الفترة الزمنية التي يجب أن تتلقى الوحدة خلالها رسالة ترحيب على إرتباط تجاوز الفشل، وبعد ذلك يتم الإعلان عن فشل وحدة النظير.

ارجع إلى وقت دراسة تجاوز الفشل للحصول على مزيد من المعلومات.

تحذير: فشل فك تشفير رسالة تجاوز الفشل.

رسالة الخطأ:

Failover message decryption failure. Please make sure both units have the 
same failover shared key and crypto license or system is not out of memory

تحدث هذه المشكلة بسبب تكوين مفتاح تجاوز الفشل. لحل هذه المشكلة، قم بإزالة مفتاح تجاوز الفشل، وتكوين المفتاح المشترك الجديد.

معلومات ذات صلة

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
1.0	04-Nov-2009	الإصدار الأولي

PIX/ASA: مثال تكوين تجاوز الفشل النشط/النشط

خيارات التنزيل

لغة خالية من التحيز

حول هذه الترجمة

المحتويات

محفوظات المراجعة

هل كان هذا المستند مفيدًا؟

اتصل بنا

ينطبق هذا المستند على هذه المنتجات