failover
配置PIX Failover(一)
简介:本文描述了Pix Failover特性的配置。
Failover的系统需求
要配置pix failover需要两台PIX满足如下要求:
型号一致(PIX 515E不能和PIX 515进行failover)
软件版本相同
激活码类型一致(都是DES或3DES)
闪存大小一致
内存大小一致
Failover中的两个设备中,至少需要一个是UR的版本,另一个可以是FO或者UR 版本。R版本不能用于Failover,两台都是FO版版也不能用于同一个Failover环境。
注意Pix501、Pix506/506E均不支持Failover特性。
理解Failover
Failover可以在主设备发生故障时保护网络,在配置了Stateful Failover的情况下,在从主Pix迁移到备PIX时可以不中断TCP连接。Failover发生时,两个设备都将改变状态,当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址,并开始工作。而新的备用PIX则将自己的IP和MAC设置为原备份地址。对于其它网络设备来说,由于IP和MAC都没改变,在网络中的任何地方都不需要改变arp表,也不需要等待ARP超时。
一旦正确配置了主Pix,并将电缆连接正确,主Pix将自动把配置发送到备份的PIX 上面。Failover可以在所有的以太网接口上工作良好,但Stateful Failover所使用的接口只能是百兆或千兆口。
在未配置Failover或处于Failover活动状态时,pix515/515E/525/535前面板上的ACT 指示灯亮,处于备用状态时,该灯灭。
将两台PIX连在一起做Fairover有两种方式:使用一条专用的高速Failover电缆做基于电缆的Failover,或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。如果做stateful Failover或做基于网络的Failover时,推荐使用100兆全双工或千兆连接。
警告做Stateful Failover时所使用的Failover连接的速度不能低于正常工作的接口的速度。
Failover特性使PIX每隔15秒(可以使用Failover poll命令设置)就对自己的接口进行一次ARP查询。只有禁用Failover这种查询才会停止。
注意使用static命令不当会造成Failover不能正常工作。
没有定义特殊端口的static命令,转换一个接口上接收到的流量的地址,然而,备
份的PIX必须能和主PIX的每一个启用了的接口通讯,以检查该接口是否处于活动状态。
例如,下面的例子会打断正常的通讯,而不能使用:
static (inside,outside) interface 192.168.1.1
这个命令转换从outside接口来来的流量到inside接口,并转发到182.168.1.1,包括从备用PIX发过来的Failover信息。因为备用PIX无法收到响应信息,它就认为主PIX的该接口不活动,这样,备份PIX就将切换到活动状态。
要创建一个不会对Failover造成影响的static语句,在Static命令中加入端口信息。例如上例可以改写为如下形式:
static (inside, outside) tcp interface 80 192.168.1.1 80
这样,就只会转换Http流量(80端口),而对Failover信息没有影响。如果还需要转换其它流量,可以为每个端口写一条Static语句
在主PIX上配置Failover需要使用到如下命令:
failover 启用Failover
failover ip address 为备用PIX分配接口地址
failover link 启用Stateful Failover
failover lan配置基于网络的Failover
配置基于Failover电缆的Failover
注意如果备用PIX处于开电状态,在进行下面的操作前先将它关掉。
第一步在活动的PIX上用clock set命令同步时钟
第二步将主、从PIX上配置了IP地址的所有接口的网线都接好。
第三步将Failover电缆上标有"Primary"的那头接到主PIX的Failover口上,标有"Secondary"的那头接到从PIX上面
第四步只配置主PIX.在主PIX上使用write mem命令时,配置会自动写到备用PIX 的FLASH中。
注意在系统提示可以打开备用Pix前,不要给备用PIX上电。
第五步使用conf t命令进入配置模式
第六步确认在配置的任何一个interface命令中都没有使用auto或1000auto选项,要查看interface命令,可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。
注意如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时,一要要注意在interface命令中使用100full或1000sxfull选项,而且在Stateful Failover连接上的MTU一定要设置为1500或更大。
Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。
第七步在interface配置正确后使用clear xlate命令.
第八步正确配置接口的IP地址。配置完后可以使用show ip address命令查看:
showip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
当主PIX处于活动状态时,Current IP Addresses和System IP Addresses相同,当主PIX得失效状态时,Current IP Addresses会变成备用PIX的IP地址.
第九步在主PIX上使用failover命令启用Failover。
第十步使用show failover验证状态,输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): Unknown (Waiting)
Interface intf3 (0.0.0.0): Unknown (Waiting)
Interface intf2 (0.0.0.0): Unknown (Waiting)
Interface outside (0.0.0.0): Unknown (Waiting)
Interface inside (0.0.0.0): Unknown (Waiting)
show failover命令输出的cable状态可能有如下值:
My side not connected—标志着在使用show failover命令时failover电缆未正确连接。
Normal—标志主从pix都操作正常.
Other side is not connected—标志对端未正确连接failover电缆。
Other side powered off—标志对端没开电。
在接口IP地址右边的标志有如下类型:
Failed—接口失效.
Link Down—接口链路层协议
Normal—正常
Shut Down—该接口被手工停用了(在interfac命令中使用了shutown参数)
Unknown—该接口未配置IP地
Waiting—还没有开始监视对端的接口状态。
第十一步使用failover ip address命令声明备用PIX的每一个接口的地址,只需要在主pix上配置,该地址不能和主PIX的地址相当,但每一个接口的地址都可以在同一个子网内。如下例年示:
failoverip address inside 10.1.1.2
failoverip address outside 192.168.1.2
failoverip address intf2 192.168.2.2
failoverip address intf3 192.168.3.2
failoverip address 4th 172.16.1.2
配置后,再show failover的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2):
配置PIX Failover(二)
从PixOS 6.2开始支持基于LAN的Failover,这样,就不再需要Fairover电缆了。基于LAN的Fairover突破了Failover的6英尺的距离限制。
注意要配置基于LAN的Failover,每台PIX需要一个单独的以太接口,并且必须
接在一台交换的交换机或一个单独的VLAN上。不能使用交叉线将两台PIX直接连接起来。
在基于LAN的Failover中,Fairover消息通过LAN进行传输,所有相关的安全性要低于基于Failover电缆的做法,在PIX os 6.2中提供了一种使用手工预先设置共享密码的加密与认证机制。
配置步骤:
第一步在活动的PIX上面用Clock set命令设置时钟
第二步将主、从PIX上除用于LAN Fairover以外的所有配置了IP地址的所有接口的网线都接好。
第三步如果连接了Fairover电缆,把它给拨掉。
第四步只配置主PIX.在主PIX上使用write mem命令时,配置会自动写到备用PIX 的FLASH中。
注意在系统提示可以打开备用Pix前,不要给备用PIX上电。
第五步使用conf t命令进入配置模式
第六步确认在配置的任何一个interface命令中都没有使用auto或1000auto选项,要查看interface命令,可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。
注意如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时,一要要注意在interface命令中使用100full或1000sxfull选项,而且在Stateful Failover连接上的MTU一定要设置为1500或更大。
Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接
口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。
第七步在interface配置正确后使用clear xlate命令.
第八步正确配置接口的IP地址。配置完后可以使用show ip address命令查看:
showip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
当主PIX处于活动状态时,Current IP Addresses和System IP Addresses相同,当主PIX得失效状态时,Current IP Addresses会变成备用PIX的IP地址.
第九步在主PIX上使用failover命令启用Failover。
第十步使用show failover验证状态,输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): Unknown (Waiting)
Interface intf3 (0.0.0.0): Unknown (Waiting)
Interface intf2 (0.0.0.0): Unknown (Waiting)
Interface outside (0.0.0.0): Unknown (Waiting)
Interface inside (0.0.0.0): Unknown (Waiting)
show failover命令输出的cable状态可能有如下值:
My side not connected—标志着在使用show failover命令时failover电缆未正确连接。
Normal—标志主从pix都操作正常.
Other side is not connected—标志对端未正确连接failover电缆。
Other side powered off—标志对端没开电。
在接口IP地址右边的标志有如下类型:
Failed—接口失效.
Link Down—接口链路层协议
Normal—正常
Shut Down—该接口被手工停用了(在interfac命令中使用了shutown参数)
Unknown—该接口未配置IP地
Waiting—还没有开始监视对端的接口状态。
第十一步使用failover ip address命令声明备用PIX的每一个接口的地址,只需要在主pix上配置,该地址不能和主PIX的地址相当,但每一个接口的地址都可以在同一个子网内。如下例年示:
failoverip address inside 10.1.1.2
failoverip address outside 192.168.1.2
failoverip address intf2 192.168.2.2
failoverip address intf3 192.168.3.2
failoverip address 4th 172.16.1.2
配置后,再show failover的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
第十二步将用于LAN Fairover的接口接入网络,然后在主PIX上配置:
no failover
failoverlan unit primary
failoverlan interface intf3
failoverlan key 1234567
failoverlan enable
failover
第十三步如果要配置Stateful Failover,使用failover link命令来定义要使用哪一个接口来传输状态信息,在本例中使用4th,命令如下:
failover link 4th
第十四步启用StatefulFailover,show failover命令的输出如下:
show failover
Failover On
Cable status: Unknown
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
Stateful Failover Logical Update Statistics
Link : 4th
StatefulObjxmitxerrrcvrerr
General 0 0 0 0
syscmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
Lan Based Failover is Active
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Unknown
在"Stateful Failover Logical Update Statistics"一段中的各部分的意义如下:
StatefulObj—PIX stateful对象
xmit—传送到另一台设备的包数量
xerr—在传送过程中出现的错误包的数量
rcv—收以的包数量
rerr—收到的错误包的数量
每一行的状态对象定义如下:
General—所有的状态对象汇总
sys cmd—系统命令,例LOGIN和Stay Alive
up time—启用时间
xlate—转换信息
tcp conn—CTCP连接信息
udp conn—动态UDP连接信息
ARP tbl—动态ARP表信息
RIF Tbl—动态路由表信息
第十五步如果需要将轮询时间改得小于15秒,以保证正常工作,可以使用Failover poll seconds命令
配置PIX Failover(三)
验证Failover配置
可以使用如下步骤验证Failover是否配置成功:
第一步使用如下配置将log信息定向到log server
logging host inside 10.1.1.5
logging trap debugging
logging on
log server的配置参见论坛精华区的:pix log发送到linux syslog server.一贴。
logging trap debugging 命令申明所有级别的log信息都发送到log server上面,这样log 信息会变得很多,在系统调试阶段这很有用。可以使用logging trap error命令减少发出的logo 信息数目,这样就会只发送Alert\critical condition和error信息。
第二步关闭主PIX电源,测试备用的PIX工作是否工作正常。
第三步使用show failover命令检查备用pix是否处于活动状态。
第四步使用FTP在不同的接口间传送一个大文件;
第五步使用show interface 确认已经开始处理数据了。
第六步也可以使用debug fover option 命令.option字段有如下选项:
第七步准备好后,打开主PIX的电源,它会自动切换为活动的PIX。系统会显示如下信息:
"Verifying LAN-Based Failover Configuration:"
I在PIX 6.2中如果实施了基于LAN的Failover,show failover命令可以提供更为详细的信息,例1就是一个基于LAN的failover在使用show failover命令的输出:
例1基于LAN的failover的show failover命令输出:
pix(config)# show failover
Failover On
Cable status: Normal
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: Primary - Active
Active time: 253515 (sec)
Interface faillink (192.168.3.1): Normal
Interface outside (172.23.58.70): Normal
Interface inside (192.168.2.1): Normal
Other host: Secondary - Standby
Active time: 0 (sec)
Interface faillink (192.168.3.2): Normal
Interface outside (172.23.58.71): Normal
Interface inside (192.168.2.2): Normal
Stateful Failover Logical Update Statistics
Link :faillink
StatefulObjxmitxerrrcvrerr
General 34177 0 34183 0
syscmd 34175 0 34173 0
up time 2 0 2 0
xlate 0 0 0 0
tcp conn 0 0 8 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
>
Logical Update Queue Information
Cur Max Total
Recv Q: 0 1 34184
Xmit Q: 0 1 34179
>
LAN-based Failover is Active
interfacedmz (171.69.39.200) Normal, peer (171.69.39.201): Normal:
命令show failover lan可以只显示基于LAN的failover的状态。命令show failover lan detail 提供了更为详细的信息,
例2show failover lan detail命令输出:
pix(config)# show failover lan detail
Lan Failover is Active
This Pix is Primary
Command Interface is dmz
Peer Command Interface IP is 171.69.39.201
My interface status is 0x1
Peer interface status is 0x1
Peer interface downtime is 0x0
Total msg send: 103093, rcvd: 103031, droped: 0, retrans: 13, send_err: 0
Total/Cur/Max of 51486:0:5 msgs on retransQ
msgs on retransQ if any
LAN FO cmd queue, count: 0, head: 0x0, tail: 0x0
Failover config state is 0x5c
Failover config poll cnt is 0
Failover pending txmsgcnt is 0
Failover Fmsgcnt is 0
pix os6.2还提供了4个新的专门用于基于LAN failover调试的debug选项:ailover:
lanrx—显示基于LAN的failover接收进程的调试信息
lanretx—显示基于LAN的failover转发进程的调试信息
lantx—显示基于LAN的failover发送进程的调试信息
lancmd—显示基于LAN的failover主线程的调试信息
附加的Failover信息
Failover通讯
在一个Failover对中的两台PIX通过一个局域网连接或专用的Failover电缆进行通讯。Failover电缆是一个工作在115.2Kbps的改进过的RS-232串行电缆。在数据中包含有主从PIX 的标志位。
两个PIX每隔15秒在所有的接口和Failover电缆上发送一个特殊的Failover的"hello"包,可以使用failover poll seconds命令修改"hello"包的发送间隔(最小为3秒,最大15秒)。在使用stateful failover时,该值应该小一些。减少该值,可以更快的检测到失效,但也会引起一些不必要的切换。
PIX上的Failover特性监视着两台PIX的Failover通讯、电源状态、接口上的hello包状态。如果连续有两个hello包未收到,Failover进程开始检查接口的状态,如果主PIX有任何一个接口失效了,那么控制权就移交到备用PIX上面。
只有在PIX上有100Mbps或千兆网连接时才可以使用Stateful Failover,启用Stateful Failover后,每个connections的状态都在两个PIX之间进行同步。没有启用Stateful Failover 的情况下,备用PIX并不维护每个连接的状态信息,这就意味着在失效发生时,所有的连接都将复位,客户端必须重新发起连接。
Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE 或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。
Failover 使用如下特性去检查对方是否处于可用状态
链接状态测试—这是检查网卡本身的,如果一个接口卡没处于UP状态,刚认为该接口出现了故障
网络活动性测试—测试网络的活动状态,PIX将统计5秒内收到的所有的包,只要在这个时间范围内收到任何一个包,就谁该接口正常操作,并停止测试,如果没有任何信息收到,则进行ARP测试。
ARP 测试—ARP测试将读取PIX的ARP cache中最近的10条记录,PIX将以一次条的方
式向这些主机发出ARP查询,在每个查询过后,将等待5秒,如果5少内有响应则说明网络正常,如果没有响应,则进行下一条,如果所有的都没有响应,进行Ping测试。
广播Ping测试—在ping中,PIX将发出一个广播PING,并统计5秒内是否有响应包,如果没有,再次进行ARP测试。
注意在基于LAN的failover中,无法检查出PIX的掉电的情况。
配置复制
把配置从主PIX复制到备用PIX有三种方式
备用PIX启动后,整个完整的配置被复制到备用PIX上面。
在主PIX上作的每个配置都将通过Failover连接复制到备用PIX上。
可以在主PIX上使用write standby命令将整个配置强制的传送到备用PIX上面。
配置复制都是内存到内存的,在复制完成后,应当使用wrmem命令配置写到Flash中。如果使用基于failover电缆的failover,配置又很长时,将花很多时间来进行配置的同步,如果在同步过程中发生切换,则新的活动PIX的配置交不完整,它将重新启动,并使用Flash中的配置。在同步过程中,不能在console上输入任何信息。
Stateful Failover
Stateful Failover特性预先将状态信息传送到备用PIX上,在一个切换发生时,在新的活动PIX上有着同样的连接信息,用户的应用的会话不需要重新连接。
传送到备用PIX的状态信息包括:全局地址池和状态、连接和地址转换信息、H323UDP 端口协商状态、PAT映射表,以及其它的细节信息。
根据特性,PIX需要15-45秒来被完成一次切换,完成切换前,stateful failover同样无法为应用提供服务。
Stateful Failover需要100Mbps或千兆以太连接,stateful failover接口之间的连接可以使用下面的任何一种方法:
使用5类交叉线直连
使用一个单独的100兆全双工交换机或使用一个单独的VLAN
使用一个单独的1000兆全双工交换机或使用一个单独的
数据传输使用IP协议,协议号为105,在这个接口上不能有任何其它的主机或路由器。
注意所有不使用的接口均应该用shutdown命令将它shutdown.
禁用Failover
可以使用no failover这样一个简单的命令来禁用failover,如果failover被禁用,show failover命令的输出如如下所示:
show failover
Failover Off
Cable Status: My side not connected
Reconnect timeout: 0:00:00
Failover使用须知
在使用PIX Failover时应该注意如下事项:
1. 在连接PIX的交换机上做如下配置:
a. 在直接连接PIX的端口上启用portfast
b. 在直接连接PIX的端口上关于trunking
c. 在直接连接PIX的端口上关于channeling.
d. 确认MSFC运行的IOS版本不是已废除的版本。
注意从
配置PIX Failover(四)
Failover配置实例
例1 Failover 配置
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 failover security10
nameif ethernet3 unused security20
enable password xxx encrypted
passwd xxx encrypted
hostnamepixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 20
no logging timestamp
no logging standby
logging console errors
no logging monitor
no logging buffered
no logging trap
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 10baset
interface ethernet2 100full
interface ethernet3 10baset
mtu outside 1500
mtu inside 1500
mtu failover 1500
mtu unused 1500
ip address outside 209.165.201.1
255.255.255.224
ip address inside 192.168.2.1 255.255.255.0
ip address failover 192.168.254.1
255.255.255.0
ip address unused 192.168.253.1
255.255.255.252
failover
failoverip address outside 209.165.201.2
failoverip address inside 192.168.2.2
failoverip address failover 192.168.254.2
failoverip address unused 192.168.253.2
failover link failover
arp timeout 14400
global (outside) 1 209.165.201.3 netmask 255.255.255.224 nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 209.165.201.5
192.168.2.5 netmask 255.255.255.255 0 0
access-listacl_out permit tcp any 209.165.201.5 eq 80 access-listacl_out permit icmp any any
access-groupacl_out in interface outside
access-listacl_ping permit icmp any any
access-groupacl_ping in interface inside
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
no rip failover passive
no rip failover default
route outside 0 0 209.165.201.4 1
timeoutxlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00
udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeoutuauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
nosnmp-server location
nosnmp-server contact
snmp-server community public
nosnmp-server enable traps
telnet timeout 5
terminal width 80
例2 基于LAN的Failover主PIX配置
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 stateful security10
nameif ethernet3 lanfover security20
enable password xxx encrypted
passwd xxx encrypted
hostnamepixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 20
no logging timestamp
no logging standby
logging console errors
no logging monitor
no logging buffered
no logging trap
logging facility 20
logging queue 512
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
interface ethernet3 100full
mtu outside 1500
mtu inside 1500
mtu failover 1500
mtu unused 1500
ip address outside 209.165.201.1 255.255.255.224 ip address inside 192.168.2.1 255.255.255.0
ip address failover 192.168.254.1 255.255.255.0 ip address unused 192.168.253.1 255.255.255.252 failover
failoverip address inside 192.168.2.2
failoverip address stateful 192.168.254.2
failoverip address lanfover 192.168.253.2
failover link stateful
failoverlan unit primary
failoverlan interface lanfover
failoverlan key 12345678
failoverlan enable
arp timeout 14400
global (outside) 1 209.165.201.3 netmask 255.255.255.224
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 209.165.201.5 192.168.2.5 netmask 255.255.255.255 0 0 access-listacl_out permit tcp any 209.165.201.5 eq 80
access-listacl_out permit icmp any any
access-groupacl_out in interface outside
access-listacl_ping permit icmp any any
access-groupacl_ping in interface inside
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
no rip failover passive
no rip failover default
route outside 0 0 209.165.201.4 1
timeoutxlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00
udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeoutuauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
nosnmp-server location
nosnmp-server contact
snmp-server community public
nosnmp-server enable traps
telnet timeout 5
terminal width 80
例3 基于LAN的Failover备用PIX配置
nameif ethernet3 stateful security20
interface ethernet3 100full
ip address lanfover 192.168.253.1 255.255.255.252
failoverlan unit primary failoverlan interface lanfover failoverlan key 12345678 failoverlan enable
failover
- DHCP FAILOVER 细节
- ASA FAILOVER实验配置
- ASA配置failover实例
- Cisco-ASA-Failover防火墙冗余
- ASA双主Failover配置操作
- Oracle数据库连接的failover配置
- ASA双主 Failover配置操作
- cisco asa 5520配置实例
- asa5520防火墙透明模式的配置例子
- 故障转移群集安装和配置
- 故障转移群集安装及配置
- ASA双主Failover配置操作
- ASA双主Failover配置操作
- 企业级项目案例实战-故障转移群集
- cisco ASA5510配置实例
- failover的配置
- 生产数据库FailOver配置方法
- windows 2008R2+故障转移集群+oracle11g配置指导说明
- FWSM FAILOVER测试配置模版
- failover配置案例