:( 我们的两台pix520通过设置了failover,昨天一台机器加电后没有反映,另一太正常工作,今天我们通过另一台pix的电源连接起不来的pix,加电起来了,提示failover已经连接,但是disable状态,需要在config下type failover,照做,但通过两台pix不能正常访问外网,两台的配置没有发生变化,只能停掉这台pix,但以前好的pix也不能正常了,然后重启,正常。。。。疑惑!现在只能先用一台pix了,不知哪里出了问题。与我加电后再连接的failover线有关系吗?
在线等待大家的帮助!!!
Robinhood 回复于:2004-05-19 11:36:54
我都听糊涂了,你能不能理清条理,再描述一遍状况。千万别说这台那台,给两台PIX起名字,叫A,B也行啊。
bluepudding 回复于:2004-05-19 11:42:11
不好意思!!!太着急了!我们的两台pix520(a、b)通过设置了failover,昨天a加电后没有反映,b正常工作,今天我们通过另一台新的pix(c)的电源连接起a,加电起来了,提示failover已经连接,但是disable状态,需要在config下type failover,照做,但通过a、b不能正常访问外网,两台的配置没有发生变化,只能停掉a,但以前好的b也不能正常了,然后重启,正常。。。。
POWERS 回复于:2004-05-19 11:46:03
热备,启动的顺序是不是很重要,不行备一下IOS重做倍,很快的
Robinhood 回复于:2004-05-19 12:02:13
现在的状况是两台设备都可以单独工作吗?还是只有b可用?
以前a是做主机的吗?
bluepudding 回复于:2004-05-19 12:28:12
目前b可以正常使用,还没有试a可不可以,但a起来后网口的灯显示是正常的。你说是不是failover的问题呀
xilun 回复于:2004-05-19 13:15:49
两台pix都是UR版本的吗?或者是一台UR版本,另一台FO版本?
两台的IOS版本要一样,同时先将两台pix的FO心跳线连接,先启动一台UR版本的pix,当它成为active后,也就是网络通讯正常后,然要在启动另一台。问题解决。
bluepudding 回复于:2004-05-19 13:47:07
两台pix以前一直是正常使用的,版本、配置都是一样的,以前配置pix,都是只配置一台,另一台自动就会通过failover得到同样的配置。以前启动pix好像没有太注意先起哪个再起哪个,这个有关系吗???谢谢!
Robinhood 回复于:2004-05-19 15:04:22
正常情况下,Backup都是通过Faiover从Master得到配置,而且哪台先启都行。
现在要先把主机配好,确定运行正常,再看备机启动是否正常。如果异常,看出错信息。
你提到的“type failover”问题,一般在主机失效,备用机启用,然后主机恢复正常时系统会提示。我曾遇到过这个提示,当时没理它,只是把PIX都关上,然后按先开主机再开备机的顺序,就OK了。当然前提是两台PIX都正常,failover线缆也正常。
bluepudding 回复于:2004-05-19 15:42:50
我感觉很可能如你所说,不过现在上着班我也没有办法全部重启,failover需要用什么命令启动一下吗?还是接上就好使呢?怎么判断哪台主?哪台备呢?
Robinhood 回复于:2004-05-19 16:06:21
你现在的问题是不是a机启动后提示“type failover”?如果你在系统中输入failover会怎样?
其实对于failover结构的PIX来说,一旦运行起来就无所谓主备,状态Active的就是主机。不过在实际使用中,往往把两台PIX都关了重启会解决很多问题,而我们公司的两台PIX 525贴有主、备的字样,习惯上我们会先开主机而已。
bluepudding 回复于:2004-05-19 16:24:55
我输入failover后就不再出现“type failover”了 ,不过这两台pix我通过sho failover后好像都是active,而且两台的灯都是不停闪动,这样是不是不正常?
Robinhood 回复于:2004-05-19 16:51:03
还有没有failover线缆?我打赌你把failover线拔掉也一定跟现在的情况一样。
建议还是等晚上没什么人上网了,把两台都重启一下。如果还是这样,就是failover通讯失效,检查电缆的连接状况和电缆本身。
另外有所谓“静态failover”的方式,可以将lan口配置为failover心跳检测通讯,但可能不适合你们,除非你们有多余的以太网端口。
bluepudding 回复于:2004-05-19 16:55:54
没有多余的网口了,看来只能等晚上重启了,不过你说先起那个有问题的(a)还是先起b好呢?再有一个问题,如果两台failover的pix正常的话,是不是有一台的灯应该是灭的,并且无法ping通呢?
cisco的电源怎么那么容易出问题呀!
感谢侠客老兄了!!!
mazu 回复于:2004-05-19 16:58:28
你有没有用“stateful failover”,如果没用,那么当failover发生时,所有的活动连接都将被结束,必须重新建立连接
bluepudding 回复于:2004-05-19 17:01:01
是在提示type failover的时候用stateful failover 吗?你说的活动连接都将结束,是不是指本来正常运行的pix(b)也将无法使用呢?重新连接就是两台重启吗???
Robinhood 回复于:2004-05-19 17:07:41
关于静态failover,我的说法可能有问题,只是知道可以用双绞线和以太口实现failover,只是配置不能自动传递。
failover结构中的设备每一对端口只有一个IP,你怎么能分别ping两台设备呀?
启动顺序理论上无所谓,不过我建议你还是先开原来常用的那台。经验证明:用过一段时间的failover线缆一般不会有问题,而冷启动经常能解决PIX双机的故障。
bluepudding 回复于:2004-05-19 17:22:31
因为最开始不是我配的,但两台的配置是这样:
failover ip address outside 210.100.1.1
failover ip address inside 192.168.3.18
failover ip address unused 192.168.253.2
failover ip address failover 192.168.254.2
failover link failover
_______________________________-
failover ip address outside 210.100.1.1
failover ip address inside 192.168.3.17
failover ip address unused 192.168.253.2
failover ip address failover 192.168.254.2
failover link failover
再有,今天我在一台pix(b)正常使用的情况下,连接a、加电,两台就不能使用呀,该不会是别的问题吧?!
mazu 回复于:2004-05-19 22:19:55
贴一下show failover的结果看看吧
bluepudding 回复于:2004-05-20 09:19:02
昨天晚上,我测试了一下:
1、先开pixb,正常,再开pixa,就不正常了,无法上网;
2、关pixb,只留pixa,正常;
3、全部关掉后,先开pixa,再开pixb,正常。
bluepudding 回复于:2004-05-20 09:23:22
pixa的sho failover
Failover On
Cable status: Normal
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: Primary - Active
Active time: 55005 (sec)
Interface failover (192.168.100.1): Normal
Failover On
Cable status: Normal
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: Secondary - Standby
Active time: 0 (sec)
Interface failover (192.168.100.2): Normal
Interface unused (192.168.101.2): Normal
Interface outside (11.22.1.91): Normal
Interface inside (192.168.1.10): Normal
Other host: Primary - Active
Active time: 55050 (sec)
Interface failover (192.168.100.1): Normal
Interface unused (192.168.101.1): Normal
Interface outside (11.22.1.90): Normal
Interface inside (192.168.1.11): Normal
Stateful Failover Logical Update Statistics
Link : failover
Stateful Obj xmit xerr rcv rerr
General 7366 0 245517 0
sys cmd 7366 0 7318 0
up time 0 0 2 0
xlate 0 0 6977 0
tcp conn 0 0 231220 47
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 9 245517
Xmit Q: 0 2 7366
Interface unused (192.168.100.1): Normal
Interface outside (11.22.1.90): Normal
Interface inside (192.168.1.10): Normal
Other host: Secondary - Standby
Active time: 0 (sec)
Interface failover (192.168.100.2): Normal
Interface unused (192.168.101.2): Normal
Interface outside (11.22.1.91): Normal
Interface inside (192.168.1.11): Normal
Stateful Failover Logical Update Statistics
Link : failover
Stateful Obj xmit xerr rcv rerr
General 245167 4 7362 0
sys cmd 7314 0 7362 35
up time 2 0 0 0
xlate 6982 0 0 0
tcp conn 230869 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 2 7362
Xmit Q: 0 28 245787
bluepudding 回复于:2004-05-20 09:24:15
刚才上面的是pixa 的sho failover
下面的是pixb的 sho failover
bluepudding 回复于:2004-05-20 09:25:52
还有一个问题,我现在加入把a更换成一台全新的,版本一样,应该怎样做?
是不是a与b连接好后,先开b,正常工作后,再开a就可以了呢????
着急!!!
Robinhood 回复于:2004-05-20 09:26:47
恭喜楼主解决了问题,同时再问一下:
你们是用网络双绞线还是Failover专用线缆来进行两台PIX的心跳检测的?
bluepudding 回复于:2004-05-20 09:30:16
专用线缆,,多谢你和其它朋友的帮助!!!!!
现在关键是,cisco的电源不让随便换,要是a换成一台新的话,是不是像钢材说的那样操作呢。
mazu 回复于:2004-05-20 10:41:56
理论上新加入个A可以不用配置,只要两台PIX的运行版本相同,硬件连接正确,B运行正常,并且A已经完成初始启动,那么在B上对A进行配置复制就可以了
bluepudding 回复于:2004-05-20 11:23:15
但是a、b都有各自的ip呀,那么不做什么配置,直接failover就可以吗?
Robinhood 回复于:2004-05-20 12:16:30
楼主你的failover配置有问题啊,failover结构中两台PIX的设置应该基本相同,每组端口应该只有1个IP地址。从Show failover结果看来,现在是b为主机,如果failover正常,应该是如下信息:
This host: Secondary - Standby
Active time: 0 (sec)
Interface failover ([color=red]0.0.0.0[/color]): [color=red]Waiting[/color]
Interface unused ([color=red]0.0.0.0[/color]): [color=red]Waiting[/color]
Interface outside ([color=red]0.0.0.0[/color]): [color=red]Waiting[/color]
Interface inside ([color=red]0.0.0.0[/color]):[color=red]Waiting[/color]
Other host: Primary - Active
Active time: 55050 (sec)
Interface failover (192.168.100.1): [color=red]Waiting[/color]
Interface unused (192.168.101.1): [color=red]Waiting[/color]
Interface outside (11.22.1.90): [color=red]Waiting[/color]
Interface inside (192.168.1.11): [color=red]Waiting[/color]
注意红色部分,你也只能PING通主机,备机的端口都是Standby的。
最好show startup-config,把两台PIX的开机配置拿来分析一下。
mazu 回复于:2004-05-20 14:03:05
在active的设备上用ip address 命令为每个接口配置failover ip 地址,从active设备上用failover ip address命令为standby设备上的每个接口配置failover ip 地址,该地址不能和主pix的地址相同,但是每一个接口的地址可以同一个子网内
如果没有设置failover ip address ,则failover不起作用,并且网络活动,ARP,广播PING测试都不被执行
Robinhood 回复于:2004-05-20 16:57:34
This host: Secondary - Standby
Active time: 0 (sec)
Interface yhqzj (0.0.0.0): Normal (Waiting)
Interface yh (0.0.0.0): Normal (Waiting)
Interface xj (0.0.0.0): Normal (Waiting)
Interface dmz (0.0.0.0): Normal (Waiting)
Interface outside (0.0.0.0): Normal (Waiting)
Interface inside (0.0.0.0): Normal (Waiting)
Other host: Primary - Active
Active time: 2244405 (sec)
Interface yhqzj (10.138.148.41): Unknown (Waiting)
Interface yh (10.138.148.25): Unknown (Waiting)
Interface xj (10.138.148.49): Unknown (Waiting)
Interface dmz (10.138.249.30): Unknown (Waiting)
Interface outside (10.138.148.17): Unknown (Waiting)
Interface inside (10.138.148.12): Unknown (Waiting)
Robinhood 回复于:2004-05-20 16:59:58
pix firewall在配置failover时,不需要在备份的firewall上进行任何配置。在主防火墙failover配置完成之后,所有防火墙的相关配置将会自动写入备份防火墙。而failover的本身设置只需要在主防火墙上写入以下两条命令:
1、failover active(指定该防火墙为主防火墙,启用failover)
2、failover link failover(指定与备份防火墙进行数据传输的接口)
bluepudding 回复于:2004-05-20 17:40:42
我现在整准备将a的配置导到新的pix中,但怎么样导呀???本来想直接通过failover将新的pix与好的pixb连接,但是这样行不通亚!我正在机房呢,愁!!!
Robinhood 回复于:2004-05-20 17:53:57
电源更换后,a的配置没改过吧?a是不是以前的主机?
可以试试把c跟a做failover,先开a再开c,配置会通过你用failover link 定义的端口自动传到c上。
bluepudding 回复于:2004-05-20 18:07:22
那是不是只须将两台pix的failover线连上,然后先开a,在开c,a的配置就会传到c上呢??????
Robinhood 回复于:2004-05-20 18:12:32
应该是这样。
传个图片,你们的网络是否是这样?
Robinhood 回复于:2004-05-20 18:16:54
failover link failover
你已经通过上述命令指定了failover的数据链路为名为failover的端口,配置会自动从a传到c。
不过还是要检查一下a的配置中是否有指令如下:
failover active
或 failover(active可以省略)
bluepudding 回复于:2004-05-20 18:19:21
不通过交换机可以马????按这个图做的话,我只能把b停掉,用它的电源供给a,连上网线,然后c也连上网线,并同a failover ,这时候先开a,再开c,,,,,是这样吗????
会不会对整个网络产生影响呢????????担心呀!!!
Robinhood 回复于:2004-05-20 18:28:35
引用:原帖由 "bluepudding"]不通过交换机可以马........
发表:
你是说连接上层路由器不通过交换机?你的路由器端口足够当然可以。
也可以用b跟c做failover呀
1,检查b的配置,要求有下列指令:
failover(或failover active)
failover link failover(你的端口是这个名称吧?)
2,连接b和c的failover线缆
3,开启b
4,开启c
......
bluepudding 回复于:2004-05-20 18:35:26
c现在是一台新的pix,现在想的就是让a的配置都到c里,再和b一起使用
mazu 回复于:2004-05-20 20:28:40
为什么要这么做,直接替换A不行吗?
bluepudding 回复于:2004-05-24 09:00:29
上个周四晚上,我将A的配置copy出来,然后直接复制到C上,但有几条命令不能执行,后来我一点一点copy,然后write mem,最后sho conf出来看,与以前a的配置一样,isakmp identity hostname和Cryptochecksum:cafaff6cce4都是自己产生的,这两条命令是什么意思呀,不管怎样问题解决了。非常感谢骑士、风云等老兄,特别特别是骑士老兄,那天耽误你下班了吧。谢谢了!!!!
不过,又有一条坏消息,我们另外两个failover的pix中有一条也出问题了,,,真是,,一个接一个呀,这台pix无法ping通,而且通过console连接上也没有反映,虽然电源灯是亮的,但其它网口都不亮,没有反应,大家帮我想想,是咋回事呀?
mazu 回复于:2004-05-24 09:28:56
isakmp identity 是定义参加IKE协议时PIX防火墙使用的isakmp标识
cryptocheckum 应该是产生的checksunm值吧
bluepudding 回复于:2004-05-24 09:38:01
那这两条是自动生成的吗?还是由别的命令产生的?
mazu 回复于:2004-05-24 09:53:14
isakmp identity可以自定义
Robinhood 回复于:2004-05-24 10:15:43
bluepudding,你上面说的那台PIX看来要跟Cisco报修了。
另外,骑士、风云是我们的头衔,呵呵。头衔上面才是我们的网名,我是Robinhood。
mazu 回复于:2004-05-24 10:23:38
:em11:
bluepudding 回复于:2004-05-24 10:44:37
哦,这样呀,,不好意思,,,你看那台pix是不是板子出了什么毛病呀
bluepudding 回复于:2004-05-24 10:54:57
mtu outside 1500
mtu inside 1500
mtu unused 1500
mtu failover 1500
ip address outside 11.22.1.90 255.255.255.0
ip address inside 192.168.3.19 255.255.255.0
ip address unused 192.168.251.1 255.255.255.0
ip address failover 192.168.252.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 11.22.1.91
failover ip address inside 192.168.3.20
failover ip address unused 192.168.251.2
failover ip address failover 192.168.252.2
failover link failover
pixa、pixb上关于failover的配置如上,两个都一样,但两个pix都有单独的ip地址在哪里体现呢?
mazu 回复于:2004-05-24 11:41:41
其实 ip address 开头的这些就是本机的
failover ip address开头的这些是另一台机子上的
你可以在2台机子上分别用show ip address看看,比较一下就明白了
Robinhood 回复于:2004-05-24 16:59:07
The two PIX Firewall units share the same configuration. The configuration can be the same because it includes both the active IP addresses and the standby IP addresses. When a unit is active, it uses the active IP addresses; when a unit is standby, it uses the standby IP addresses.
以上摘自PIX Failover白皮书。就是说配置里两组IP都有,哪台设备成为Active,就获得Active的IP;哪台成为Standby,就获得Standby的IP。
另外,我刚发了帖子“配置PIX双机failover的要点”,请去看一下,也许有帮助。
bluepudding 回复于:2004-05-25 08:57:40
我马上就去看看。再有,你说我们最新那台坏的是不是板子坏了,或其它大问题呀,我们的保修快到期了,不知道这回能不能换台新的来。
Robinhood 回复于:2004-05-25 09:17:36
赶快跟代理商报修,等拖过保修期就惨了。
|
