Cisco Pix 515 Failover

[Daneben]

Hallo,
auf meinen zwei Pixen Cisco PIX 515 die im übrigen klasse laufen bekomme ich im Syslog in unschöner Regelmässigkeit folgende drei Meldungen:

XXAug 06 2009 15:33:12 pix1 : %PIX-1-105005: (Primary) Lost Failover communications with mate on interface 0
XXAug 06 2009 15:33:12 pix1 : %PIX-1-105008: (Primary) Testing Interface 0
XXAug 06 2009 15:33:13 pix1 : %PIX-1-105009: (Primary) Testing on interface 0 Passed


Ein show failover liefert folgendes:
show failover
Failover On
Cable status: Normal
Reconnect timeout 0:00:00
Poll frequency 15 seconds
Last Failover at: 18:23:54 UTC Tue Jan 6 2009
This host: Primary - Active
Active time: 18291945 (sec)
Interface outside (XX.XX.XX.XX): Normal
Interface inside (XX.XX.XX.XX): Normal
Interface intf2 (0.0.0.0): Link Down (Shutdown)
Interface intf3 (0.0.0.0): Link Down (Shutdown)
Other host: Secondary - Standby
Active time: 1215 (sec)
Interface outside (XX.XX.XX.XX): Normal
Interface inside (XX.XX.XX.XX): Normal
Interface intf2 (0.0.0.0): Link Down (Shutdown)
Interface intf3 (0.0.0.0): Link Down (Shutdown)

Stateful Failover Logical Update Statistics
Link : inside
Stateful Obj xmit xerr rcv rerr
General 313887620 1 2436352 0
sys cmd 2428093 0 2428073 0
up time 8 0 2 0
xlate 0 0 0 0
tcp conn 311459838 0 8277 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0

Logical Update Queue Information
Cur Max Total
Recv Q: 0 1 2429893
Xmit Q: 1 1 66850361


SW-Version:
Cisco PIX Firewall Version 6.3(4)
Serial Cable Failover


Die Failover Konfiguration:
ip address outside xx.xx.xx.xx xx.xx.xx.xx
ip address inside xx.xx.xx.xx xx.xx.xx.xx
no ip address intf2
no ip address intf3

failover
failover timeout 0:00:00
failover poll 15
failover ip address outside xx.xx.xx.xx
failover ip address inside xx.xx.xx.xx
no failover ip address intf2
no failover ip address intf3
failover link inside


Die Pixen funktionieren die gesamte Zeit, nur kommen diese drei Meldungen inzwischen fast jede Minute. Das müllt natürlich den Syslog voll und ich frage mich ob das Probleme nach sich ziehen kann bzw. ob die Performance darunter leiden könnte. Laut Cisco-Doku sollte es eigentlich ok sein, wenn das Testing erfolgreich abläuft (was es ja tut).
Hat jemand Erfahrungen mit diesen Meldungen?

Gruß
Daneben

[blackbox]

Hi,

könnte es sein, das du den Timeout

failover timeout 0:00:00

ein bischen zu niedrig hast - den dann kann es bei hoher Last auf dem Interface passieren - das er die Helo´s nicht mehr rüber bekommt.

Habe die Befehle nicht mehr alle im Kopf - viel mir nur so direkt ins Auge... Sonst schaue ich mal in ner Config von mir nach.

[Daneben]

Habe die Befehle nicht mehr alle im Kopf - viel mir nur so direkt ins Auge... Sonst schaue ich mal in ner Config von mir nach.

das wäre klasse.
failover timeout 0:00:00 hierfür habe ich folgendes gefunden:
Cisco recommends not changing this setting.It is provided for compatability with other manufacturer's equipment which does not apply at this time.
Daran gedacht an dem Timeout zu drehen habe ich auch schon, wenn du hierzu einen konkreten Befehl haettest waere das klasse.

Gruß
daneben

[blackbox]

Hi,

ich schaue mal nach - bin derzeit nur in Urlaub und habe nicht "vollen" Zugriff auf meine Config´s...

[Otaku19]

der Befehl = die Config,sprich failover timeout xx:yy:zz

[Daneben]

der Befehl = die Config,sprich failover timeout xx:yy:zz

Danke,
ich teste mal mit failover timeout 00:00:15
und poste wie sich die Änderung ausgewirkt hat.

Gruß
Daneben

[Daneben]

Die Änderung auf failover timeout 00:00:15 hat leider keine Verbesserung erbracht.
Im Syslog finden sich auch weiterhin die ungeliebten Meldungen
(
PIX-1-105005: (Primary) Lost Failover communications with mate on interface 0
PIX-1-105008: (Primary) Testing Interface 0
PIX-1-105009: (Primary) Testing on interface 0 Passed
)
was mir eben noch aufgefallen ist:
Ich habe insgesamt vier IP-Adressen für die redundanten Pixen vergeben:
ip address outside xx.xx.xx.xx xx.xx.xx.xx
ip address inside xx.xx.xx.xx xx.xx.xx.xx
failover ip address outside xx.xx.xx.xx
failover ip address inside xx.xx.xx.xx
Wenn ich auf der pix eingeloggt bin, kann ich allerdings nur drei der vier IPs anpingen.
Die failover ip address outside lässt sich nicht anpingen.

könnte da das Problem liegen? Die Inside Interfaces sind beide pingbar, und sollten für das failover eher ausschlaggebend sein. (failover link inside).
mmh, seltsam
Gruß
Daneben

[blackbox]

Hi,

das würde ja passen mit dem Interface 0 was den Fehler meldet - kannst du die IP den von extern pingen ? Oder hast du da evtl. ein Connection Problem ?

[Daneben]

das Problem scheint gelöst zu sein.
Das die outside failover ip nicht anpingbar war habe ich ja bereits berichtet.
ich habe mit mal den Switchport angeschaut auf dem der nicht anpingbare Port aufgesteckt war und habe einige Fehler festgestellt. Änderungen an den duplex und Speed - Einstellungen haben nichts gebracht, da dachte ich mir:
Probier es doch einfach mal mit einem anderen Kabel....
Und schon funktioniert das Interface wieder.
Die Meldungen scheinen jetzt ebenfalls verschwunden zu sein.
Eigentlich schon komisch das ein Kabel (das eigentlich nicht angefasst wird) plötzlich nicht mehr funktioniert..
Falls das Problem wieder auftritt poste ich.
Gruß
Daneben

[blackbox]

Hi,

falls du da nen Kabelbruch drin hattest - reicht es schon wenn im Raum sich die Temparatur verändert (oder man kommt einfach irgendwann mal dagegen)