Cisco Pix 515 Failover

[Daneben 10]

Hallo,

auf meinen zwei Pixen Cisco PIX 515 die im übrigen klasse laufen bekomme ich im Syslog in unschöner Regelmässigkeit folgende drei Meldungen:

 

XXAug 06 2009 15:33:12 pix1 : %PIX-1-105005: (Primary) Lost Failover communications with mate on interface 0

XXAug 06 2009 15:33:12 pix1 : %PIX-1-105008: (Primary) Testing Interface 0

XXAug 06 2009 15:33:13 pix1 : %PIX-1-105009: (Primary) Testing on interface 0 Passed

 

 

Ein show failover liefert folgendes:

show failover

Failover On

Cable status: Normal

Reconnect timeout 0:00:00

Poll frequency 15 seconds

Last Failover at: 18:23:54 UTC Tue Jan 6 2009

This host: Primary - Active

Active time: 18291945 (sec)

Interface outside (XX.XX.XX.XX): Normal

Interface inside (XX.XX.XX.XX): Normal

Interface intf2 (0.0.0.0): Link Down (Shutdown)

Interface intf3 (0.0.0.0): Link Down (Shutdown)

Other host: Secondary - Standby

Active time: 1215 (sec)

Interface outside (XX.XX.XX.XX): Normal

Interface inside (XX.XX.XX.XX): Normal

Interface intf2 (0.0.0.0): Link Down (Shutdown)

Interface intf3 (0.0.0.0): Link Down (Shutdown)

 

Stateful Failover Logical Update Statistics

Link : inside

Stateful Obj xmit xerr rcv rerr

General 313887620 1 2436352 0

sys cmd 2428093 0 2428073 0

up time 8 0 2 0

xlate 0 0 0 0

tcp conn 311459838 0 8277 0

udp conn 0 0 0 0

ARP tbl 0 0 0 0

RIP Tbl 0 0 0 0

 

Logical Update Queue Information

Cur Max Total

Recv Q: 0 1 2429893

Xmit Q: 1 1 66850361

 

SW-Version:

Cisco PIX Firewall Version 6.3(4)

Serial Cable Failover

 

 

Die Failover Konfiguration:

ip address outside xx.xx.xx.xx xx.xx.xx.xx

ip address inside xx.xx.xx.xx xx.xx.xx.xx

no ip address intf2

no ip address intf3

 

failover

failover timeout 0:00:00

failover poll 15

failover ip address outside xx.xx.xx.xx

failover ip address inside xx.xx.xx.xx

no failover ip address intf2

no failover ip address intf3

failover link inside

 

 

Die Pixen funktionieren die gesamte Zeit, nur kommen diese drei Meldungen inzwischen fast jede Minute. Das müllt natürlich den Syslog voll und ich frage mich ob das Probleme nach sich ziehen kann bzw. ob die Performance darunter leiden könnte. Laut Cisco-Doku sollte es eigentlich ok sein, wenn das Testing erfolgreich abläuft (was es ja tut).

Hat jemand Erfahrungen mit diesen Meldungen?

 

Gruß

Daneben

[blackbox 10]

Hi,

 

könnte es sein, das du den Timeout

 

failover timeout 0:00:00

 

ein bischen zu niedrig hast - den dann kann es bei hoher Last auf dem Interface passieren - das er die Helo´s nicht mehr rüber bekommt.

 

Habe die Befehle nicht mehr alle im Kopf - viel mir nur so direkt ins Auge... Sonst schaue ich mal in ner Config von mir nach.

[Daneben 10]

Habe die Befehle nicht mehr alle im Kopf - viel mir nur so direkt ins Auge... Sonst schaue ich mal in ner Config von mir nach.

das wäre klasse.

failover timeout 0:00:00 hierfür habe ich folgendes gefunden:

Cisco recommends not changing this setting.It is provided for compatability with other manufacturer's equipment which does not apply at this time.

Daran gedacht an dem Timeout zu drehen habe ich auch schon, wenn du hierzu einen konkreten Befehl haettest waere das klasse.

 

Gruß

daneben

[blackbox 10]

Hi,

 

ich schaue mal nach - bin derzeit nur in Urlaub und habe nicht "vollen" Zugriff auf meine Config´s...

[Otaku19 33]

der Befehl = die Config,sprich failover timeout xx:yy:zz

[Daneben 10]

der Befehl = die Config,sprich failover timeout xx:yy:zz

Danke,

ich teste mal mit failover timeout 00:00:15

und poste wie sich die Änderung ausgewirkt hat.

 

Gruß

Daneben

[Daneben 10]

Die Änderung auf failover timeout 00:00:15 hat leider keine Verbesserung erbracht.

Im Syslog finden sich auch weiterhin die ungeliebten Meldungen

(

PIX-1-105005: (Primary) Lost Failover communications with mate on interface 0

PIX-1-105008: (Primary) Testing Interface 0

PIX-1-105009: (Primary) Testing on interface 0 Passed

)

was mir eben noch aufgefallen ist:

Ich habe insgesamt vier IP-Adressen für die redundanten Pixen vergeben:

ip address outside xx.xx.xx.xx xx.xx.xx.xx

ip address inside xx.xx.xx.xx xx.xx.xx.xx

failover ip address outside xx.xx.xx.xx

failover ip address inside xx.xx.xx.xx

Wenn ich auf der pix eingeloggt bin, kann ich allerdings nur drei der vier IPs anpingen.

Die failover ip address outside lässt sich nicht anpingen.

 

könnte da das Problem liegen? Die Inside Interfaces sind beide pingbar, und sollten für das failover eher ausschlaggebend sein. (failover link inside).

mmh, seltsam

Gruß

Daneben

bearbeitet 12. August 2009 von Daneben

[blackbox 10]

Hi,

 

das würde ja passen mit dem Interface 0 was den Fehler meldet - kannst du die IP den von extern pingen ? Oder hast du da evtl. ein Connection Problem ?

[Daneben 10]

das Problem scheint gelöst zu sein.

Das die outside failover ip nicht anpingbar war habe ich ja bereits berichtet.

ich habe mit mal den Switchport angeschaut auf dem der nicht anpingbare Port aufgesteckt war und habe einige Fehler festgestellt. Änderungen an den duplex und Speed - Einstellungen haben nichts gebracht, da dachte ich mir:

Probier es doch einfach mal mit einem anderen Kabel....

Und schon funktioniert das Interface wieder.

Die Meldungen scheinen jetzt ebenfalls verschwunden zu sein.

Eigentlich schon komisch das ein Kabel (das eigentlich nicht angefasst wird) plötzlich nicht mehr funktioniert..

Falls das Problem wieder auftritt poste ich.

Gruß

Daneben

[blackbox 10]

Hi,

 

falls du da nen Kabelbruch drin hattest - reicht es schon wenn im Raum sich die Temparatur verändert (oder man kommt einfach irgendwann mal dagegen)