Cisco技术ASA配置failover实例
某公司使用一台ASA5520作为内外网安全设备及互联网出口,现网还有一台ASA5520也放置于出口,但两台设备没有形成HA,并没有配置failover。出于提升网络安全性和冗余的考虑,现对设备进行failover配置。
整个配置过程内容如下:
前提条件
要实现failover,两台设备需要满足以下的一些条件:
1.相同的设备型号和硬件配置:设备模块、接口类型,接口数量,CPU,内存,flash闪存等
2.相同的软件版本号,此处即指ASA的IOS版本,IOS版本需要高于7.0
3.相同的FW模式,必须同为路由模式或者透明模式
4.相同的特性集,如支持的加密同为DES或者3DES
5.合适的licensing,两台设备的license符合基本要求,能支持相同的failover
除了以上的几点之外,两台ASA实现失效转移failover还需要按照情况制作对应的failover/stateful心跳线,可以是交叉网线。
经过比对两台ASA5520的以上相关信息,发现目前两台ASA防火墙的IOS 版本不一致,ASA-A是“asa804-3-k8.bin,Software Version 8.0(4)3”,ASA-B 是“asa821-k8.bin,Software Version 8.2(1)”。通过比对还发现,两台ASA支持的License features虽并不一致,但事实上,实现failover不需要license features 完全一致,只要关键的几个特性如支持failover类型相同即可。所以,此两台设备如果要实现failover,则必须首先要做的就是使用ASA-B的升级ASA-A的IOS 至8.2(1),或者将ASA-B的IOS降低至8.0(4)3版本,不推荐使用降级IOS 的方式,所以下面的小节将给出实现failover前升级ASA-A的IOS具体操作过程(命令脚本)。
升级IOS方案
此以升级ASA-A的IOS到8.2(1)版本来说明。降级OS的操作步骤类似。说明:因为两台ASA5520的硬件配置一样,所以8.2(1)版本的IOS是可以支持所有ASA-A的功能及软硬件配置的。所以,升级方案是完全兼容现有硬件的。
首先,将需要把ASA-B的IOS镜像文件以及ASDM镜像文件拷出来。
1.asa-b(config)#dir
//显示文件目录
2.#copy disk0:/asa821-k8.bin tftp:
拷贝ASA-B的IOS镜像到TFTP服务器
3.#copy disk0:/asdm-621.bin tftp:
拷贝ASA-B的ASDM镜像到TFTP服务器
接下来的就是升级过程了
1.asa(config)# dir
//显示文件目录
2.copy disk0:/asa804-3-k8.bin tftp:
//将原有IOS文件备份到TFTP服务器上
3.copy disk0:/asdm-615.bin tftp:
//将原有asdm文件备份到TFTP服务器上
4.copy tftp: disk0:
//将新的IOS文件从TFTP服务器上拷贝到ASA中,需要指定TFTP上的镜像文件名asa821-k8.bin
5.copy tftp: disk0:
//将新的ASDM镜像文件从TFTP服务器上拷贝到ASA中,指定ASDM镜像名asdm -621.bin
6.asa(config)# dir
//再次显示目录,检查文件是否拷贝成功
7.asa(config)# no boot system disk0:/asa804-3-k8.bin
//取消原来的启动文件关联
8.asa(config)# dir
asa(config)# boot system disk0:/asa821-k8.bin
asa(config)# asdm image disk0:/asdm-621.bin
//设置IOS文件及ASDM文件的关联
Device Manager image set, but not a valid image file disk0:/asdm-603. bin
//由于新的IOS文件在重新启动前并未生效,所以会提示新的ASDM镜像在设置关联的时候会提示无效。
asa(config)# exit
9.asa# wr
//保存配置
10.asa# reload
重启ASA-A,使设置生效
至此,IOS升级完毕,通过show tech查看ASA-A的信息是否与ASA-B一致,如果没有问题,就可以进行正式的failover配置工作了。
为ASA配置failover
升级完毕IOS后,接下来的就是进行failover的配置设置了。
考虑到现网的情况,作为业务和互联网出口的主要安全设备是ASA-A,并且该设备目前的负荷不高,完全可以满足现网需求,因此,本方案采用
active/standby的failover方式,并且,由于理论以及实际环境的限制,本方案采用LAN-based failover模式。
首先,做配置前需要做以下测试(这几项测试非必要,可以不进行)。
1.测试各个以太口和serial-cable口的连通性
2.测试网络activity
3.测试arp,读取设备的arp cache中最新学习到的10个条目
4.测试广播ping,如ping同一个内网的广播地址,如10.1.1.255/24
然后,两台ASA5520断电,断电时使用普通交叉网线连接两台ASA5520设备的以太网口,然后开启active(primary)设备。
注意:作为secondary的ASA-B此时不能加电。同时,若确定ASA-B不用承载任何业务和安全检测功能,可以考虑事先将其配置备份(ASA-B#copy run tftp:),然后再清空ASA-B的配置后执行failover配置。
接下来是配置primary(active)设备ASA-A,ASA-A的其他设置可以不用修改。
1.ASA-A(config)# interface GigabitEthernet0/3
ASA-A(config-if)# no shut
2.ASA-A(config)# failover lan interface LANFAIL GigabitEthernet0/3
3.ASA-A(config)# failover interface ip LANFAIL 172.17.1.1 255.255.255.0
standby 172.17.1.7
//根据实际情况设置IP信息
4.ASA-A(config)# failover lan unit primary
//设置设备ASA-A为primary
5.ASA-A(config)# failover key 1234567
//配置failover的共享密钥
6.ASA-A(config)# failover
//enable failover
7.ASA-A(config)# failover link LANFAIL
//配置全状态stateful下failover
8.ASA-A#wr
//保存配置到flash
再接下来,加电启动ASA-B,配置secondary的ASA-B为standby。
9.ASA-B(config)# interface GigabitEthernet0/3
ASA-B(config-if)# no shut
10.ASA-B(config)# failover lan interface LANFAIL GigabitEthernet0/3
11.ASA-B(config)# failover interface ip LANFAIL 172.17.1.1 255.255.255.0
standby 172.17.1.7
//根据实际情况设置IP信息,primary和secondary一样
12.ASA-B(config)# failover lan unit secondary
//设置设备ASA-B为secondary
13.ASA-B(config)# failover key 1234567
//配置failover的共享密钥
14.ASA-B(config)# failover
//enable failover
15.ASA-B#wr
//保存配置到flash
由于实际环境中,接口物理MAC地址不能保证100%可用,所以High Available的配置通常还要加配虚拟MAC地址。
16.ASA-A(config)# failover mac address GigabitEthernet0/0 xxxx.xxxx.xxxx
xxxx.xxxx.xxxx
ASA-A(config)# failover mac address GigabitEthernet0/1 xxxx.xxxx.xxxx xxxx.xxxx.xxxx
最后,配置完毕后,ASA-A向ASA-B复制配置,这个过程通常需要几分钟时间。
这个过程是可监督的,可以在ASA-B上使用如下方式查看。
ASA-B# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: LANFAIL GigabitEthernet0/3 (up)
Unit Poll frequency 500 milliseconds, holdtime 6 seconds
Interface Poll frequency 600 milliseconds, holdtime 15 seconds Interface Policy 1
Monitored Interfaces 3 of 250 maximum
Version: Ours 7.2(1), Mate 7.2(1)
Output ommit……
有以上的输出,表明配置就同步了。
至此,整个的failover就算完成了。
思科交换机命令大全
思科交换机常用命令大全 1.1 用户模式与特权模式 用户模式:可以使用一些基本的查询命令 特权模式:可以对交换机进行相关的配置 进入特权模式命令:Switch>enable 退出特权模式命令:Switch#exit 启用命令查询:? 时间设置:Switch#clock set 时间(自选参数,参数必须符合交换机要求) 显示信息命令:Switch#show 可选参数 注意:可以用TAB键补齐命令,自选参数为用户自定义参数,可选参数为交换机设定参数 查看交换机配置: Switch#show running-config 保存交换机配置:Switch#copy running-config startup-config Switch#wr 查看端口信息:Switch#show interface 查看MAC地址表:Switch#show mac-address-table 查看交换机CPU的状态信息:Switch#show processes 1.2 全局配置模式 进入全局配置模式:Switch#configure terminal
主机名修改:Switch(config)#hostname 主机名(自选参数) 特权模式进入密码: Switch(config)#enable secret 密码(自选参数) 取消特权模式密码:Switch(config)#no enable secret 取消主机名设置: Switch(config)#no hostname 退出配置模式: Switch(config)#exit 需要特别注意的是在配置模式中无法使用show命令,如果要使用 的话show前必须加do和空格,例如:do show * 指定根交换机命令:Switch(config)#spanning-tree vlan 自选参数(VLAN号)root primary 例如: Switch(config)#spanning-tree vlan 1 root primary 需要注意的是:设置根交换机是基于VLAN的 关闭生成树协议命令:Switch(config)#no spanning-tree vlan 自选参数(VLAN 号) 例如: Switch(config)#no spanning-tree vlan 1 1.3 接口配置模式 进入接口配置模式:Switch(config)#interface 端口名称(可选参数) 启用端口:Switch(config-if)#no shutdown 停用端口:Switch(config-if)#shutdown 进入同种类型多端口配置:Switch(config)# interface range fastethernet 0/1-5 进入不同类型多端口配置:Switch(config)#interface range fastethernet 0/1-5,gigabitethernet 0/1-2
Oracle数据库连接的failover配置
Failover的连接配置 刘伟 以下内容参考了官方文档。这里的failover,是指应用发起一个数据库连接以后,如果工作过程中该连接所连到的实例发生了故障,连接可以自动切换到正常节点,从而最小化对业务的影响。 根据Oracle的介绍,我们有两种连接方式可以实现数据库连接的failover: TAF和FCF 1. TAF TAF的全称是Transparent Application Failover,即透明应用故障切换。 按照官方文档的描述,TAF让Oracle Net将一个失效的连接从故障点转移到另一个监听上,用户能使用这个新的连接来继续未完成的工作。 TAF可以配置为使用client端的(Transparent Network Substrate)TNS连接字符串来连接,或者使用server端的服务。如果两种方式同时使用,则使用server端的服务配置。 TAF可以工作在两种模式下:session failover和select failover。前者在failover时会重建失败的连接,后者则能够继续进程中未完成的查询(如果failover前一个session正在从一个游标中获取数据,则新的session将在相同的snapshot下重新运行select语句,并返回余下的行)。如果failover时,session执行了DML操作且未提交,则failover后,若不执行rollback 回滚而执行新的操作,将会收到一条错误信息ORA-25402: transaction must roll back TAF在dataguard中使用,可以自动进行failover 一个典型的使用了TAF的TNS连接串如下: NEWSDB = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = rac1-vip)(PORT = 1521)) (ADDRESS = (PROTOCOL = TCP)(HOST = rac2-vip)(PORT = 1521)) (LOAD_BALANCE = yes) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = dyora) (FAILOVER_MODE = (TYPE = SELECT) (METHOD = BASIC) (RETRIES = 180) (DELAY = 5) ) ) )
Cisco设备的基本配置命令
switch> 用户模式 1:进入特权模式 enable switch> enable switch# 2:进入全局配置模式 configure terminal switch> enable switch#c onfigure terminal switch(conf)# 3:交换机命名 hostname aptech2950 以aptech2950为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4:配置使能口令 enable password cisco 以cisco为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5:配置使能密码 enable secret ciscolab 以cicsolab为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 6:设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip 和子网掩码 aptech2950(conf-if)#no shut 是配置处于运行中aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 192.168.254 设置网关地址 7:进入交换机某一端口 interface fastehernet 0/17 以17端口为例switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface fastehernet 0/17 aptech2950(conf-if)#
cisco3750三层交换机配置说明
三层交换机可以通过Telnet方式或超级终端方式连上,第一次使用的三层交换机需要进行配置,具体步骤如下: 1)、用Cisco 3750三层交换机自带的一条串行电缆将其Console口与1台维护笔记本的串口(需要知道是Com1还是Com2)相连。 2)在维护笔记本上执行以下操作:“开始→程序→附件→通讯→超级终端”,在“连接描述”对话框的名称一栏中输入“cisco3750”(此名字没有实际意义,可以随便输入),创建一个叫做"cisco3750"的新连接,点击"确定",缺省的使用COM1(根据维护计算机连接的端口选择),在"串口设置"中将波特率改为9600波特,其他参数不变,点击"确定"就可以得到三层交换机的控制台。 3)、设置结束,打开三层交换机电源,就会出现三层交换机的启动信息。这时就可以像在终端一样对三层交换机进行操作了。此时不要进行任何操作,以免破坏三层交换机的启动进程,直到三层交换机出现了: “Copyright (c) 1986-2006 by Cisco Systems, Inc. Compiled Fri 28-Jul-06 08:46 by yenanh” 回车,提示“Would you like to terminate autoinstall? [yes]:”是否要终止自动安装,输入N,进入配置页面: “--- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]:” 输入N,选择不需要,提示“Switch>00:14:58: %LINK-5-CHANGED: Interface Vlan1, changed state to administratively down”,出现“switch>”就可以输入命令进行配置。 switch >en(进入特权模式) switch #configure(进入组态模式) switch ( config ) #hostname 3750 (交换机重命名) 3750( config )#Interface vlan 1 (进入vlan1设置) 3750( config-if ) #ip add 171.100.12.1 255.255.255.0(设置vlan1的IP,连接其端口的设备必须以其IP作为网关) 3750( config-if ) #no shutdown (激活vlan1的端口)
cisco交换机(Switch)配置命令大全
1.在基于IOS的交换机上设置主机名/系统名: switch(config)# hostname hostname 在基于CLI的交换机上设置主机名/系统名: switch(enable) set system name name-string 2.在基于IOS的交换机上设置登录口令: switch(config)# enable password level 1 password 在基于CLI的交换机上设置登录口令: switch(enable) set password switch(enable) set enalbepass 3.在基于IOS的交换机上设置远程访问: switch(config)# interface vlan 1 switch(config-if)# ip address ip-address netmask switch(config-if)# ip default-gateway ip-address 在基于CLI的交换机上设置远程访问: switch(enable) set interface sc0 ip-address netmask broadcast-address switch(enable) set interface sc0 vlan switch(enable) set ip route default gateway 4.在基于IOS的交换机上启用和浏览CDP信息: switch(config-if)# cdp enable switch(config-if)# no cdp enable
为了查看Cisco邻接设备的CDP通告信息: switch# show cdp interface [type modle/port] switch# show cdp neighbors [type module/port] [detail] 在基于CLI的交换机上启用和浏览CDP信息: switch(enable) set cdp {enable|disable} module/port 为了查看Cisco邻接设备的CDP通告信息: switch(enable) show cdp neighbors[module/port] [vlan|duplex|capabilities|detail] 5.基于IOS的交换机的端口描述: switch(config-if)# description description-string 基于CLI的交换机的端口描述: switch(enable)set port name module/number description-string 6.在基于IOS的交换机上设置端口速度: switch(config-if)# speed{10|100|auto} 在基于CLI的交换机上设置端口速度: switch(enable) set port speed moudle/number {10|100|auto} switch(enable) set port speed moudle/number {4|16|auto} 7.在基于IOS的交换机上设置以太网的链路模式: switch(config-if)# duplex {auto|full|half} 在基于CLI的交换机上设置以太网的链路模式: switch(enable) set port duplex module/number {full|half}
Cisco ASA5505防火墙详细配置教程及实际配置案例
Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS
dlyAAA思科3750交换机中文配置手册
先把这个学会吧,再去搞哪个,会容易入手,是一样的结构。思科的命令和这不同,我这有路由模拟器要的话告诉我你的邮箱我发给你。 SWITCH笔记 1. Switch command 2. Switch setup 3. Vlan setup 4. VLAN TRUNK 5. Switch interface setup 6. SHOW command 7. Cisco catalyst 2950交换机的密码恢复 8. VTP 9. STP 10. 三层交换 11. 12. 13. 14. 15. Switch command Switch > en 进入特权模式 Switch # conf t 进入全局配置模式 Switch(config)# interface interface-num 进入接口 Switch(config)# hostname name 给交换机命名 Switch(config)# enable password password 设置明文密码 Switch(config)# enable secret password 设置加密的启用秘密口令。如果设置则取代明文口令 Switch # copy running-config startup-config Switch # write 保存设置 保存设置 Switch # erase startup-config 恢复交换机出厂值 置顶 Switch setup switch(config)# interface vlan 1 switch(config-if)# ip address ip-address netmask switch(config-if)# no shut switch(config-if)# exit switch(config)# ip default-gateway ip-address
1-cisco路由器基本配置及远程登录
实训目的: (1)学习和掌握科路由器的配置方式和要求。 (2)学习和掌握科路由器的工作模式分类、提示符、进入方式。1、路由器的配置方式 ①超级终端方式。该方式主要用于路由器的初始配置,路由器不需要IP地址。基本方法是:计算机通过COM1/COM2口和路由器的Console口连接,在计算机上启用“超级终端”程序,设置“波特率:9600 ,数据位:8,停止位:1,奇偶校验: 无,校验:无”即可。常用 ②Telnet方式。该方式配置要求路由器必须配置了IP地址。基本方法是:计算机通过网卡和路由器的以太网接口相连,计算机的网卡和路由器的以太网接口的IP地址必须在同一网段。常用 ③其他方式:AUX口接MODEM,通过电话线与远方运行终端仿真软件的微机;通过Ethernet上的TFTP服务器;通过Ethernet上的SNMP网管工作站。 2、路由器的工作模式 在命令行状态下,主要有以下几种工作模式: ①一般用户模式。主要用于查看路由器的基本信息,只能执行少数命令,不能对路由 器进行配置。提示符为:Router>;进入方式为:Telnet或Console ②使能(特权)模式。主要用于查看、测试、检查路由器或网络,不能对接口、路由 协议进行配置。提示符为:Router#;进入方式为:Router>enable。 ③全局配置模式。主要用于配置路由器的全局性参数。提示符为:Router(config)#; 进入方式为:Router#config ter。 ④全局模式下的子模式。包括:接口、路由协议、线路等。其进入方式和提示符如下: Router(config)#ineterface e0 //进入接口模式 Router(config-if)#//接口模式提示符 Router(config)#rip //进入路由协议模式 Router(config-router)# //路由协议模式 Router(config)#line con 0 //进入线路模式
Cisco+3750交换机配置
3750交换机(EMI) 简明配置维护手册 目录 说明 (2) 产品特性 (2) 配置端口 (3) 配置一组端口 (3) 配置二层端口 (5) 配置端口速率及双工模式 (5) 端口描述 (6) 配置三层口 (7) 监控及维护端口 (9) 监控端口和控制器的状态 (9) 刷新、重置端口及计数器 (11) 关闭和打开端口 (12) 配置VLAN (13) 理解VLAN (13) 可支持的VLAN (14) 配置正常范围的VLAN (14) 生成、修改以太网VLAN (14) 删除VLAN (16) 将端口分配给一个VLAN (17) 配置VLAN Trunks (18) 使用STP实现负载均衡 (21)
说明 本手册只包括日常使用的有关命令及特性,其它未涉及的命令及特性请参考英文的详细配置手册。 产品特性 3750EMI是支持二层、三层功能(EMI)的交换机 支持VLAN ?到1005 个VLAN ?支持VLAN ID从1到4094(IEEE 802.1Q 标准) ?支持ISL及IEEE 802.1Q封装 安全 ?支持IOS标准的密码保护 ?静态MAC地址映射 ?标准及扩展的访问列表支持,对于路由端口支持入出双向的访问列表,对于二层端口支持入的访问列表 ?支持基于VLAN的访问列表 3层支持(需要多层交换的IOS) ?HSRP ?IP路由协议 o RIP versions 1 and 2 o OSPF o IGRP及EIGRP o BGP Version 4 监视
?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能(历史、统计、告警及事件) ?Syslog功能 其它功能: 支持以下的GBIC模块: ?1000BASE-T GBIC: 铜线最长100 m ?1000BASE-SX GBIC: 光纤最长1804 feet (550 m) ?1000BASE-LX/LH GBIC: 光纤最长32,808 feet (6 miles or 10 km) ?1000BASE-ZX GBIC: 光纤最长328,084 feet (62 miles or 100 km) 配置端口 配置一组端口
思科交换机路由器命令大全
思科交换机路由器命令 大全 YUKI was compiled on the morning of December 16, 2020
1. 交换机支持的命令:交换机基本状态: 交换机口令设置: switch>enable ;进入特权模式switch#config terminal ;进入全局配置模式 switch(config)#hostname ;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口 令switch(config)#enable password xxa ;设置特权非 密口令switch(config)#line console 0 ;进入控制台 口switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令 xxswitch#exit ;返回命令 交换机VLAN设置:
switch(vlan)#vlan 2 ;建VLAN 2switch(vlan)#no vlan 2 ;删vlan 2switch(config)#int f0/1 ;进入端 口1switch(config-if)#switchport access vlan 2 ; 当前端口加入vlan 2switch(config-if)#switchport mode trunk ;设置为干线switch(config- if)#switchport trunk allowed vlan 1,2 ;设置允许 的vlanswitch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain ;设置发vtp域名switch(config)#vtp password ;设置发vtp密码switch(config)#vtp mode server ;设置发vtp模式switch(config)#vtp mode client ;设置发vtp模式 交换机设置IP地址: 交换机显示命令:
ASA双主Failover配置操作
ASA Active/Acitve FO 注:以下理论部分摘自百度文库: ASA状态化的FO配置,要在物理设备起用多模式,必须创建子防火墙。在每个物理设备上配置两个Failover组(failover group),且最多配置两个。 Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,当主设备down掉的时候,备用设备能够马上接管主设备的工作,进而保持通信的连通性;Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接;活动设备的接口被monitor,用于发现是否要进行Failover切换Failover分为failover和Stateful Failover,即故障切换和带状态的故障切换。 不带状态的failover在进行切换的时候,所有活动的连接信息都会丢失,所有Client都需要重新建立连接信息,那么这会导致流量的间断。 带状态的failover,主设备将配置信息拷贝给备用设备的同时,也会把自己的连接状态信息拷贝给备用设备,那么当主的设备down的时候,由于备用设备上保存有连接信息,因此Client不需要重新建立连接,那么也就不会导致流量的中断。 Failover link 两个failover设备频繁的在failover link上进行通信,进而检测对等体的状态。以下信息是通过failover link通信的信息: ●设备状态(active or standby); ●电源状态(只用于基于线缆的failover;) ●Hello messages (keep-alives); ●Network link 状态; ●MAC地址交换; ●配置的复制和同步; (Note :所有通过failover 和stateful failover线缆的信息都是以明文传送的,除非你使用failover key来对信息进行加密;) Stateful link 在stateful link上,拷贝给备用设备的连接状态信息有: ●NAT 转换表; ●TCP连接状态; ●UDP连接状态; ●ARP表 ●2层转发表(运行在透明模式的时候) ●HTTP连接状态信息(如果启用了HTTP复制) ●ISAKMP和IPSec SA表 ●GTP PDP连接数据库 以下信息不会拷贝给备用设备: ●HTTP连接状态信息(除非启用了HTTP复制) ●用户认证表(uauth) ●路由表
思科基本配置命令详解
思科交换机基本配置实例讲解
目录 1、基本概念介绍............................................... 2、密码、登陆等基本配置....................................... 3、CISCO设备端口配置详解...................................... 4、VLAN的规划及配置........................................... 4.1核心交换机的相关配置..................................... 4.2接入交换机的相关配置..................................... 5、配置交换机的路由功能....................................... 6、配置交换机的DHCP功能...................................... 7、常用排错命令...............................................
1、基本概念介绍 IOS: 互联网操作系统,也就是交换机和路由器中用的操作系统VLAN: 虚拟lan VTP: VLAN TRUNK PROTOCOL DHCP: 动态主机配置协议 ACL:访问控制列表 三层交换机:具有三层路由转发能力的交换机 本教程中“#”后的蓝色文字为注释内容。 2、密码、登陆等基本配置 本节介绍的内容为cisco路由器或者交换机的基本配置,在目前版本的cisco交换机或路由器上的这些命令是通用的。本教程用的是cisco的模拟器做的介绍,一些具体的端口显示或许与你们实际的设备不符,但这并不影响基本配置命令的执行。 Cisco 3640 (R4700) processor (revision 0xFF) with 124928K/6144K bytes of memory. Processor board ID 00000000 R4700 CPU at 100MHz, Implementation 33, Rev 1.2
思科交换机配置维护手册
思科交换机配置维护手册
目录
一、端口配置 1.1 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格,如:interface range fastethernet 0/1 – 5是有效的,而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。
见以下例子: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 5 Switch(config-if-range)# no shutdown 以下的例子显示使用句号来配置不同类型端口的组: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 3, gigabitethernet0/1 - 2 Switch(config-if-range)# no shutdown 1.2 配置二层端口 1.2.1 配置端口速率及双工模式
cisco配置命令大全
933a LMI使用Q933A标准.LMI(Local management Interface)有3种:ANSI:T1.617;CCITTY:Q933A和CISCO特有的标准。 # fram-relay intf-typ ABC ABC为帧中继设备类型,它们分别是DTE设备,DCE交换机或NNI(网络接点接口)支持。# frame_relay interface_dlci 110 br 配置DLCI(数据链路连接标识符)。 # frame-relay map ip ABCD XXXX broadcast 建立帧中继映射。ABCD为对方ip地址,XXXX为本地DLCI号,broadcast允许广播向前转发或更新路由。 # no shutdown 激活本端口. # exit ---- 5 .帧中继子接口的配置: # conf t # int s0.1 point-to-point
对应S0的子接口1,点对点方式。 # ip addr ABCD XXXX ABCD为子口1的IP地址,XXXX为子网掩码。# frame-relay intreface-dlci 100 br 6.配置拨号备份 (1).配置备份主口 # conf t # int s0 S0为主口. # backup int asy 1 A1口为备份口. # backup delay 0 1 延时1秒. (2).配置虚拟接口 # conf t # ip addr ABCD XXXX
ABCD为虚拟接口IP地址,XXXX为子网掩码。 # encap ppp 封装ppp协议. # dialer in-band 激活随叫随拨功能. # dialer idle-timeout 7200 # dialer map ip ABCD modem-script call broadcast 6225481 br 映射对应的拨号口.ABCD为对方拨号口的ip地址,6225481为对应的电话号码。 # dialer_group 1 定义拨号组成员. (3).配置防火墙 # dialer_list 1 pro ip permit 允许ip协议通过。 (4).配置连接口令 # user name ABCD pass XXXX ABCD为对方主机名,XXXX为连接口令. (5).配置拨号字符串
DHCP FAILOVER 细节
DHCP Failover的实现细节 RFC 2131的工作机制 RFC 2131定义了三种类型的服务器到服务器的信号:服务器租用同步信号、操作状态信号(问候包)及“我回来了”信号(主服务器从死机状态恢复)。 冗余DHCP服务器遵循RFC 2131 DHCP故障恢复草案通过服务器租用同步信号彼此交流租用信息。当两台服务器工作正常时,主、次服务器间会有连续的信息流。用来交流租用信息的信号有三种: 添加信号,当主服务器分发出一个新租约时,主服务器发送到次服务器的信号;刷新信号,当租约有变化时(如更新/扩充),每台服务器发送的信号; 删除信号,当租约期满,地址又成为可用的了,服务器发送的信号。 在所有情况下,接收方服务器以肯定或否定的认可信号来响应。这些信号只有在请求DHCP客户处理完毕后才发送给另一台服务器。 除了维护当前的租用信息数据库外,次服务器还必须留意主服务器,以便得知何时取代租用的分发。这一功能由监视两台服务器的TCP连接来实现。次服务器使用三个标准以确定它和主服务器的连接是否满意: 1.必须能建立TCP连接; 2.必须接收到主服务器发送的连接信号,并以连接认可响应; 3.必须接收到主服务器发出的状态信号,用它来确定自己的操作状态。 failover协议允许两台DHCP服务器(不能多于2台)共享一个公共的地址池。在任何时刻,每台服务器都拥有地址池中一半的可用地址用来分配给客户端。如果其中一台服务器失效,另一台服务器在与失效的服务器通讯之前会继续从池中renew地址,并且会从它拥有的那一半可用地址中分发新地址给客户端。 如果一台服务器启动时没有预先通知它的failover伙伴, 那么在它对外提供服务以前必须与failover伙伴建立通讯,并且进行同步。这个过程当你首次
Cisco交换机配置手册
2950交换机 简明配置维护手册
目录 说明 (3) 产品特性 (3) 配置端口 (4) 配置一组端口 (4) 配置二层端口 (6) 配置端口速率及双工模式 (6) 端口描述 (7) 监控及维护端口 (8) 监控端口和控制器的状态 (8) 刷新、重置端口及计数器 (10) 关闭和打开端口 (10) 配置VLAN (11) 理解VLAN (11) 可支持的VLAN (12) 配置正常范围的VLAN (12) 生成、修改以太网VLAN (13) 删除VLAN (14) 将端口分配给一个VLAN (15) 配置VLAN Trunks (16) 使用STP实现负载均衡 (19) 配置Cluster (23)
说明 本手册只包括日常使用的有关命令及特性,其它未涉及的命令及特性请参考英文的详细配置手册。 产品特性 2950是只支持二层的交换机 支持VLAN ?到250 个VLAN ?支持VLAN ID从1到4094(IEEE 802.1Q 标准) ?支持ISL及IEEE 802.1Q封装 安全 ?支持IOS标准的密码保护 ?支持标准及扩展的访问列表来定义安全策略 ?支持基于VLAN的访问列表 监视 ?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能(历史、统计、告警及事件)
配置端口 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格,如:interface range fastethernet 0/1 – 5是有效的,而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。
CiscoASAFailover防火墙冗余
Failover Failover是思科防火墙一种高可用技术,能在防火墙发生故障时数秒内转移配置到另一台设备,使网络保持畅通,达到设备级冗余的目的。 原理 前提需要两台设备型号一样(型号、内存、接口等),通过一条链路连接到对端(这个连接也叫)。该技术用到的两台设备分为Active设备(Primary)和Stanby设备(Secondary),这种冗余也可以叫AS模式。活跃机器处于在线工作状态,备用处于实时监控活跃设备是否正常。当主用设备发生故障后(接口down,设备断电),备用设备可及时替换,替换为Avtive的角色。Failover启用后,Primary 设备会同步配置文件文件到Secondary设备,这个时候也不能在Scondary添加配置,配置必须在Active进行。远程管理Failover设备时,登录的始终是active设备这一点一定要注意,可以通过命令(show failover)查看当时所登录的物理机器。目前启用failover技术不是所有状态化信息都可以同步,比如NAT转换需要再次建立。 配置Active设备: interface Ethernet0 nameif outside security-level 0 ip address standby //standby为备份设备地址
interface Ethernet1 nameif inside security-level 100 ip address standby ASA1(config)# failover lan unit primary //指定设备的角色主 ASA1(config)# failover lan interface failover Ethernet2 //Failover接口名,可自定义 ASA1(config)# failover link Fover Ethernet2//状态信息同步接口ASA1(config)# failover interface ip failover stan //配置Failover IP地址,该网段可使用私网地址 ASA1(config)# failover lan key xxxx //配置Failover 认证对端 ASA1(config)# failover //启用Failover;注意,此命令一定要先在Active上输入,否则会引起配置拷错; 将一个接口指定为failover 接口后,再show inter 的时候,该接口就显示为:interface Ethernet3 description LAN Failover Interface //确保接口up 配置standby设备: ASA2(config)# inte Ethernet3 ASA2(configif)# no shutdown ASA2(configif)# exit
思科路由器基本配置与常用配置命令
思科路由器基本配置与常用配置命令(simple for CCNA) 启动接口,分配IP地址: router> router> enable router# router# configure terminal router(config)# router(config)# interface Type Port router(config-if)# no shutdown router(config-if)# ip address IP-Address Subnet-Mask router(config-if)# ^z 配置RIP路由协议:30秒更新一次 router(config)# router rip router(config-if)# network Network-Number router(config-if)# ^z 配置IGRP路由协议:90秒更新一次 router(config)# router igrp AS-Number router(config-if)# network Network-Number router(config-if)# ^z配置Novell IPX路由协议:Novell RIP 60秒更新一次 router(config)# ipx routing [node address] router(config)# ipx maximum-paths Paths router(config)# interface Type Port router(config-if)# ipx network Network-Number [encapsulation encapsulation-type] [secondary] router(config-if)# ^z配置DDR: router(config)# dialer-list Group-Number protocol Protocol-Type permit [list ACL-Number] router(config)# interface bri 0 router(config-if)# dialer-group Group-Number router(config-if)# dialer map Protocol-Type Next-Hop-Address name Hostname Telphone-Number router(config-if)# ^z配置ISDN: router(config)# isdn swith-type Swith-Type router(config-if)# ^z 配置Frame Relay: router(config-if)# encapsulation frame-relay [cisco | ietf ] router(config-if)# frame-relay lmi-type [ansi | cisco | q933a ] router(config-if)# bandwidth kilobits router(config-if)# frame-relay invers-arp [ Protocol ] [dlci ] router(config-if)# ^z配置标准ACL: router(config)# access-list Access-List-Number [ permit | deny ] source [ source-mask ] router(config)# interface Type Port router(config-if)# ip access-group Access-List-Number [ in | out ] router(config-if)# ^z配置扩展ACL: router(config)# access-list Access-List-Number [ permit | deny ] [ Protocol | Protocol-Number ] source source-wildcard [ Source-Port ] destination destination-wildcard [ Destination-Port ] [ established ]