故障倒换
故障倒换

作者:heizi_010101 提交日期:2005-7-26 17:53:00

故障倒换的工作条件:
两台防火墙必须有完全相同的型号,相同的接口数量,接口类型,相同的软件版本,相同的激活(activation)密匙类型,
相同的内存和RAM。
故障倒换分成两种类型:
标准故障倒换和基于lan的故障倒换。
出现故障倒换的情况:
1,活动PIX防火墙电源关闭
2,活动PIX防火墙重启
3,活动PIX防火墙的一条链路关闭超过两个挂帐倒换轮询周期。
4,使用no failover active命令,强制活动防火墙进行故障倒换;或者在待机防火墙上使用命令failover active,强制待

机防火墙进行故障倒换
5,在活动pix防火墙上,块内存被耗尽的状态持续超过15秒
一,故障倒换的地址:
当处于活动状态时,PIX防火墙使用系统IP地址和MAC地址,当处于待机状态时,备用PIX防火墙使用故障倒换IP地址和MAC地

址。可以配置PIX防火墙使用虚拟MAC地址,而不使用它的故障倒换MAC地址。(软件版本在6.2以上时,才支持虚拟MAC地址)
二,配置复制:
从活动防火墙到待机防火墙进行配置复制,可通过如下3种方式来完成:
1,当待机PIX防火墙完成最初的引导,活动PIX防火墙把整个配置复制到待机PIX防火墙。
2,当在活动PIX防火墙上输入命令时,这些命令通过故障倒换电缆送入待机PIX防火墙
3,在活动PIX防火墙上输入write standby命令,强制把内存中所有的配置发送到待机PIX防火墙。
三,状态故障倒换:
故障倒换有两种类型:

故障倒换:当活动防火墙出现鼓掌,待机防火墙开始工作,所有的连接都将断开,客户应用程序需要新建一个连接,才能通

过PIX防火墙继续通信
状态故障倒换:(5.0开始)当活动PIX防火墙出现故障,待机PIX防火墙开始工作,新的活动PIX防火墙能得到与老的活动PIX

防火墙一样的连接信息。(状态故障倒换功能还不支持IP安全和虚拟专用网协议。
四,故障倒换接口的测试
下面是用来判断故障倒换状态的四种不同的测试:
1,链路启动/断开:这是对NIC自身的测试。如果接口卡没有插入到运行的网络中,就认为是出现故障。
2,网络活动:这测试是接收网络活动测试PIX防火墙对接受的数据包连续进行5秒钟的记数,如果在这段时间内的任何时间收

到了数据包,就认为该接口处于工作状态,停止测试。如果没有收到数据包,就开始地址解析协议(ARP)测试。
3,arp测试:是从pix防火墙的arp缓冲区中读取最近的10条内容,pix防火墙向这些机器每次发出一个请求,模仿网络数据流

量。
4,广播ping---ping测试就是发送广播ping请求,pix防火墙在5秒钟内对收到的数据包进行记数,如果在此期间内受到了任

何数据包,就认为接口处在工作状态,测试停止。如果没有收到任何流量,再次开始arp测试

基于电缆的鼓掌倒换配置(要关闭待机防火墙,直到步骤中明确指示打开它)/*要结合例子来理解*/

1,确认备用pix防火墙电源已经关闭,选择主备两台防火墙上适合的端口,用一根网络电缆将二者连接。如果要部署状态故

障倒换,其中一个接口必须专用于此项功能。
2,把故障倒换电缆连接到主pix防火墙,确认这一端标记着primary字样。把标着secondary字样的一端,连接到备用pix防火

墙上。
3,配置主pix防火墙:
 (1)用nameif给要使用的每个接口命名,设定安全级别。如果采用故障倒换,其中一个接口必须专用此项功能。
 (2)给要使用的接口设定速率,配置中不能使用auto或1000auto,把专用的接口设成100ful或者1000sxfull。如果使用
interface命令改变设置,执行操作有,使用clear xlate。
 (3)使用ip address 命令对计划使用的接口设定ip地址。
 (4)在主pix防火墙上使用命令clock set同步两台防火墙的时间
 (5)对于状态故障倒换,确认最大传输单元等于大于1500
 (6)在主pix防火墙上使用命令failover启动故障倒换功能,使用active选项把pix防火墙设定成活动防火墙。
 (7)使用failover ip address命令为每个接口输入故障倒换ip地址。待机防火墙使用的ip地址与活动防火墙使用的ip地

址不同,但是应当在一个子网中。
 (8)如果使用的是状态故障倒换,使用命令failover link指明故障倒换专用接口的名字。
 (9)如果希望在出现故障时,更快的执行故障倒换过程,可以使用命令failover poll设定防火墙交互hello包的时间小于

15秒
 (10)使用命令write memory把设置保存到闪存中。
4,打开备用防火墙的电源。备用防火墙一启动,主防火墙马上识别到。就开始进行配置同步。

基于LAN的故障倒换配置

不需要专用的故障倒换电缆,但需要专用一个lan接口,一台交换机,集线器或者vlan ,不能使用交叉(crossover )已太

网线把两台pix防火墙直接连接起来。

 (1)在连接PIX防火墙的cisco交换机上执行如下步骤:
 <1>启动portfast
 <2>关闭中继(trunking)功能
 <3>关闭通道(channeling)功能
 <4>如果使用的是cisco 6000或者6500系列交换机,请确认多层交换特性卡(MSFC)的运行的cisco IOS软件没有缺陷
 (2)给主,备两台防火墙的每个网络接口,接好网络电缆,用作基于LAN故障倒换的接口除外。
 (3)在给主pix防火墙的故障倒换lan接口连接电缆之前,执行下列步骤:
 <1>命令clock set同步主,备两台pix防火墙。
 <2>确认在配置中没有使用auto和1000auto这样的选项
 <3>使用命令interface关闭所有不同的接口,不要连接电缆。
 对专用的基于lan的接口进行如下的配置:用nameif指定接口的名字和安全级别;使用interface启动接口,设定

 速率,使用ip address指定接口的ip地址。
 使用命令failover启动故障倒换功能。
 <4>设置轮询时间(可选)
 <5>使用failover ip address,给待机防火墙上的每个接口设定ip地址。
 <6>如果是配置状态故障倒换,使用命令failover link指定故障倒换专用接口的名字。
 <7>使用writer memory保存主pix防火墙的配置
 <8>把主pix防火墙的故障倒换接口连接到网络
 <9>使用no failover关闭故障倒换。
 <10>使用failover lan unit把这台防火墙设定为主防火墙
 <11>使用failover lan interface指定故障倒换接口的名字。
 <12>使用failover lan key创建保证故障倒换安全性而使用的共享密钥。
 <13>使用failover lan enable启动基于lan的故障倒换。
 (4)把主pix防火墙的配置保存到闪存。
 (5)打开备用pix防火墙
 (6)不连接基于lan的故障倒换接口,在备用防火墙上执行如下的步骤
 <1>用nameif指定故障接口的名字和安全级别;使用interface启动故障接口,设定速率,使用ip address指定故障

接口的ip地址。
 <2>使用failover ip address,分配故障倒换接口的故障倒换ip地址。
 <3>使用failover lan unit把这台防火墙设定为备防火墙
 <4>使用failover lan interface指定故障倒换接口的名字。
 <5>使用failover lan key创建保证故障倒换安全性而使用的共享密钥。
 <6>使用failover lan enable启动基于lan的故障倒换。
 <7>使用failover lan enable启动基于lan的故障倒换。
 <8>使用writer memory保存pix防火墙的配置
 <9>把pix防火墙的故障倒换接口连接到网络
 <10>使用reload重启pix防火墙
#日志日期:2005-7-26 星期二(Tuesday) 多云
天涯“2016年度十大最具影响力博客”评选


登录 | 新人注册>>
输入您的评论:(不支持HTML标签)


验证码
本文所属博客:黑子的狗窝
引用地址:
© 天涯社区