PIX做双机failover的备分(PIX-515E-UR-BUN)_VMware, Unix及操作系统讨论区_Weblogic技术|Tuxedo技术|中间件技术|Oracle论坛|JAVA论坛|Linux/Unix技术|hadoop论坛_联动北方技术论坛  
网站首页 | 关于我们 | 服务中心 | 经验交流 | 公司荣誉 | 成功案例 | 合作伙伴 | 联系我们 |
联动北方-国内领先的云技术服务提供商
»  游客             当前位置:  论坛首页 »  自由讨论区 »  VMware, Unix及操作系统讨论区 »
总帖数
1
每页帖数
101/1页1
返回列表
0
发起投票  发起投票 发新帖子
查看: 2914 | 回复: 0   主题: PIX做双机failover的备分(PIX-515E-UR-BUN)        下一篇 
    本主题由 Administrator 于 2014-9-6 8:19:24 移动
nini
注册用户
等级:新兵
经验:56
发帖:63
精华:0
注册:2011-12-16
状态:离线
发送短消息息给nini 加好友    发送短消息息给nini 发消息
发表于: IP:您无权察看 2014-9-5 14:44:20 | [全部帖] [楼主帖] 楼主

PIX做双机failover的备分(PIX-515E-UR-BUN)

Failover On
Cable status: Other side powered off
Failover unit Secondary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 250 maximum
Version: Ours 7.2(2), Mate Unknown
Last Failover at: 00:00:21 UTC Jan 1 1993
This host: Secondary - Active
Active time: 3825 (sec)
Other host: Primary - Not Detected
Active time: 0 (sec)
Stateful Failover Logical Update Statistics
Link : Unconfigured.
pixfirewall# debug fover cable
fover event trace on
pixfirewall# fover_health_monitoring_thread: cstatus = 0x3, Other side powered o
fover_health_monitoring_thread: cstatus = 0x3, Other side powered off
fover_health_monitoring_thread: cstatus = 0x3, Other side powered off
no fover_health_monitoring_thread: fover_luifc_check: skip lu ifc monitoring
dfover_health_monitoring_thread: cstatus = 0x3, Other side powered off
ebugfover_health_monitoring_thread: cstatus = 0x3, Other side powered off
fover_health_monitoring_thread: cstatus = 0x3, Other side powered off
foverfover_health_monitoring_thread: cstatus = 0x3, Other side powered off
fover_health_monitoring_thread: cstatus = 0x3, Other side powered off


 这是PIX-515E-FO-BUN上面显示的信息,

    现在情况是:备分线正确连接的,UR上面配置也配对着呢,为什么就是看不到主的PIX-515E-UR-BUN。

    大家帮我看一下,哪里出错了。

hostname GX-VGOP-pix
domain-name default.domain.invalid
enable password kq8VjfQOgHWNjFvy encrypted
names
dns-guard
interface Ethernet0
shutdown
no nameif
no security-level
no ip address
interface Ethernet1
nameif DMZ
security-level 50
ip address 172.16.10.94 255.255.255.224 standby 172.16.10.93
interface Ethernet2
nameif CMNet-net
security-level 0
ip address 211.138.251.220 255.255.255.248 standby 211.138.251.221
interface Ethernet3
nameif mdcn-net
security-level 40
no ip address
interface Ethernet4
nameif boss-net
security-level 40
ip address 10.182.12.151 255.255.255.224 standby 10.182.12.152
interface Ethernet5
nameif inside
security-level 100
ip address 172.16.10.102 255.255.255.248 standby 172.16.10.101
failover
failover link state e5
failover inter ip state 100.100.100.1 255.255.255.0 stadby 100.100.100.2


 备分上面:

    只需要起动:failover

    就可以了。

    闪存大小一致 

    内存大小一致 

    Failover中的两个设备中,至少需要一个是UR的版本,另一个可以是FO或者UR版本。R版本不能用于Failover,两台都是FO版版也不能用于同一个Failover环境。 

    注意 Pix501、Pix506/506E均不支持Failover特性。 

    理解Failover

    Failover可以在主设备发生故障时保护网络,在配置了Stateful Failover的情况下,在从主Pix迁移到备PIX时可以不中断TCP连接。Failover发生时,两个设备都将改变状态,当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址,并开始工作。而新的备用PIX则将自己的IP和MAC设置为原备份地址。对于其它网络设备来说,由于IP和MAC都没改变,在网络中的任何地方都不需要改变arp表,也不需要等待ARP超时。 

    一旦正确配置了主Pix,并将电缆连接正确,主Pix将自动把配置发送到备份的PIX上面。Failover可以在所有的以太网接口上工作良好,但Stateful Failover所使用的接口只能是百兆或千兆口。 

    在未配置Failover或处于Failover活动状态时,pix515/515E/525/535前面板上的ACT指示灯亮,处于备用状态时,该灯灭。 

    将两台PIX连在一起做Fairover有两种方式:使用一条专用的高速Failover电缆做基于电缆的Failover,或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。如果做stateful Failover或做基于网络的Failover时,推荐使用100兆全双工或千兆连接。 

    警告 做Stateful Failover时所使用的Failover连接的速度不能低于正常工作的接口的速度。 

    Failover特性使PIX每隔15秒(可以使用Failover poll命令设置)就对自己的接口进行一次ARP查询。只有禁用Failover这种查询才会停止。 

    注意 使用static命令不当会造成Failover不能正常工作。 

    没有定义特殊端口的static命令,转换一个接口上接收到的流量的地址,然而,备份的PIX必须能和主PIX的每一个启用了的接口通讯,以检查该接口是否处于活动状态。 

    例如,下面的例子会打断正常的通讯,而不能使用: 

static (inside,outside) interface 192.168.1.1


   这个命令转换从outside接口来来的流量到inside接口,并转发到182.168.1.1,包括从备用PIX发过来的Failover信息。因为备用PIX无法收到响应信息,它就认为主PIX的该接口不活动,这样,备份PIX就将切换到活动状态。 

    要创建一个不会对Failover造成影响的static语句,在Static命令中加入端口信息。例如上例可以改写为如下形式: 

static (inside, outside) tcp interface 80 192.168.1.1 80


   这样,就只会转换Http流量(80端口),而对Failover信息没有影响。如果还需要转换其它流量,可以为每个端口写一条Static语句 

    在主PIX上配置Failover需要使用到如下命令: 

    failover 启用Failover 

    failover ip address 为备用PIX分配接口地址 

    failover link 启用Stateful Failover 

    failover lan 配置基于网络的Failover 

    配置基于Failover电缆的Failover

    注意 如果备用PIX处于开电状态,在进行下面的操作前先将它关掉。 

    第一步 在活动的PIX上用clock set命令同步时钟 

    第二步 将主、从PIX上配置了IP地址的所有接口的网线都接好。 

    第三步 将Failover电缆上标有"Primary"的那头接到主PIX的Failover口上,标有"Secondary"的那头接到从PIX上面 

    第四步 只配置主PIX.在主PIX上使用write mem命令时,配置会自动写到备用PIX的FLASH中。 

    注意 在系统提示可以打开备用Pix前,不要给备用PIX上电。

    第五步 使用conf t命令进入配置模式 

    第六步 确认在配置的任何一个interface命令中都没有使用auto或1000auto选项,要查看interface命令,可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。 

    注意 如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时,一要要注意在interface命令中使用100full或1000sxfull选项,而且在Stateful Failover连接上的MTU一定要设置为1500或更大。

Stateful Failover


所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。 

    第七步 在interface配置正确后使用clear xlate命令. 

    第八步 正确配置接口的IP地址。配置完后可以使用show ip address命令查看: 

show ip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0


   当主PIX处于活动状态时,Current IP Addresses和System IP Addresses相同,当主PIX得失效状态时,Current IP Addresses会变成备用PIX的IP地址. 

    第九步 在主PIX上使用failover命令启用Failover。 

    第十步 使用show failover验证状态,输出如下: 

show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): Unknown (Waiting)
Interface intf3 (0.0.0.0): Unknown (Waiting)
Interface intf2 (0.0.0.0): Unknown (Waiting)
Interface outside (0.0.0.0): Unknown (Waiting)
Interface inside (0.0.0.0): Unknown (Waiting)


 show failover命令输出的cable状态可能有如下值: 

    My side not connected—标志着在使用show failover命令时failover电缆未正确连接。 

    Normal—标志主从pix都操作正常. 

    Other side is not connected—标志对端未正确连接failover电缆。 

    Other side powered off—标志对端没开电。

    在接口IP地址右边的标志有如下类型: 

    Failed—接口失效. 

    Link Down—接口链路层协议 

    Normal—正常 

    Shut Down—该接口被手工停用了(在interfac命令中使用了shutown参数) 

    Unknown—该接口未配置IP地 

    Waiting—还没有开始监视对端的接口状态。 

    第十一步 使用failover ip address命令声明备用PIX的每一个接口的地址,只需要在主pix上配置,该地址不能和主PIX的地址相当,但每一个接口的地址都可以在同一个子网内。如下例年示: 

failover ip address inside 10.1.1.2
failover ip address outside 192.168.1.2
failover ip address intf2 192.168.2.2
failover ip address intf3 192.168.3.2
failover ip address 4th 172.16.1.2


   配置后,再show failover的输出如下: 

show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)


   第十二步 如果要配置Stateful Failover,使用failover link命令来定义要使用哪一个接口来传输状态信息,在本例中使用4th,命令如下: 

failover link 4th


   第十三步 启用Stateful Failover,show failover命令的输出如下: 

show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0


   在"Stateful Failover Logical Update Statistics"一段中的各部分的意义如下: 

    Stateful Obj—PIX stateful对象 

    xmit—传送到另一台设备的包数量 

    xerr—在传送过程中出现的错误包的数量 

    rcv—收以的包数量 

    rerr—收到的错误包的数量

    每一行的状态对象定义如下: 

    General—所有的状态对象汇总 

    sys cmd—系统命令,例LOGIN和Stay Alive 

    up time—启用时间 

    xlate—转换信息 

    tcp conn—CTCP连接信息 

    udp conn—动态UDP连接信息 

    ARP tbl—动态ARP表信息 

    RIF Tbl—动态路由表信息 

    第十四步 如果需要将轮询时间改得小于15秒,以保证正常工作,可以使用Failover poll seconds命令,缺省值为15秒,最小3秒,最大15秒。将轮询时间改小,会更快的检测到失效,但也也由于临时的拥塞和导致不必要的切换。 

    第十五步 打开备用pix的电源,一上电,主pix就会将配置同步到备用PIX上面,会出现 "Sync Started"和"Sync Completed"两条信息. 

    第十六步 在备用的pix启用后,show failover命令的输出如下: 

show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal
Interface intf3 (192.168.3.1): Normal
Interface intf2 (192.168.2.1): Normal
Interface outside (192.168.1.1): Normal
Interface inside (10.1.1.1): Normal
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Normal
Interface intf3 (192.168.3.2): Normal
Interface intf2 (192.168.2.2): Normal
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.2): Normal
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0


   第十七步 使用wr mem命令将配置同时写入主从pix. 

    配置基于LAN的Failover 

    从PixOS 6.2开始支持基于LAN的Failover,这样,就不再需要Fairover电缆了。基于LAN的Fairover突破了Failover的6英尺的距离限制。 

    注意 要配置基于LAN的Failover,每台PIX需要一个单独的以太接口,并且必须接在一台交换的交换机或一个单独的VLAN上。不能使用交叉线将两台PIX直接连接起来。 

    在基于LAN的Failover中,Fairover消息通过LAN进行传输,所有相关的安全性要低于基于Failover电缆的做法,在PIX os 6.2中提供了一种使用手工预先设置共享密码的加密与认证机制。 

    配置步骤: 

    第一步 在活动的PIX上面用Clock set命令设置时钟 

    第二步 将主、从PIX上除用于LAN Fairover以外的所有配置了IP地址的所有接口的网线都接好。 

    第三步 如果连接了Fairover电缆,把它给拨掉。 

    第四步 只配置主PIX.在主PIX上使用write mem命令时,配置会自动写到备用PIX的FLASH中。 

    注意 在系统提示可以打开备用Pix前,不要给备用PIX上电。

    第五步 使用conf t命令进入配置模式 

    第六步 确认在配置的任何一个interface命令中都没有使用auto或1000auto选项,要查看interface命令,可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。 

    注意 如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时,一要要注意在interface命令中使用100full或1000sxfull选项,而且在Stateful Failover连接上的MTU一定要设置为1500或更大。

Stateful Failover


所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。 

    第七步 在interface配置正确后使用clear xlate命令. 

    第八步 正确配置接口的IP地址。配置完后可以使用show ip address命令查看: 

show ip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0


   当主PIX处于活动状态时,Current IP Addresses和System IP Addresses相同,当主PIX得失效状态时,Current IP Addresses会变成备用PIX的IP地址. 

    第九步 在主PIX上使用failover命令启用Failover。 

    第十步 使用show failover验证状态,输出如下: 

show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): Unknown (Waiting)
Interface intf3 (0.0.0.0): Unknown (Waiting)
Interface intf2 (0.0.0.0): Unknown (Waiting)
Interface outside (0.0.0.0): Unknown (Waiting)
Interface inside (0.0.0.0): Unknown (Waiting)


 show failover命令输出的cable状态可能有如下值: 

    My side not connected—标志着在使用show failover命令时failover电缆未正确连接。 

    Normal—标志主从pix都操作正常. 

    Other side is not connected—标志对端未正确连接failover电缆。 

    Other side powered off—标志对端没开电。

    在接口IP地址右边的标志有如下类型: 

    Failed—接口失效. 

    Link Down—接口链路层协议 

    Normal—正常 

    Shut Down—该接口被手工停用了(在interfac命令中使用了shutown参数) 

    Unknown—该接口未配置IP地 

    Waiting—还没有开始监视对端的接口状态。 

    第十一步 使用failover ip address命令声明备用PIX的每一个接口的地址,只需要在主pix上配置,该地址不能和主PIX的地址相当,但每一个接口的地址都可以在同一个子网内。如下例年示: 

failover ip address inside 10.1.1.2
failover ip address outside 192.168.1.2
failover ip address intf2 192.168.2.2
failover ip address intf3 192.168.3.2
failover ip address 4th 172.16.1.2


   配置后,再show failover的输出如下: 

show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)


   第十二步 将用于LAN Fairover的接口接入网络,然后在主PIX上配置: 

no failover
failover lan unit primary
failover lan interface intf3
failover lan key 1234567
failover lan enable
failover


   第十三步 如果要配置Stateful Failover,使用failover link命令来定义要使用哪一个接口来传输状态信息,在本例中使用4th,命令如下: 

failover link 4th


   第十四步 启用Stateful Failover,show failover命令的输出如下: 

show failover
Failover On
Cable status: Unknown
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
Lan Based Failover is Active
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Unknown


   在"Stateful Failover Logical Update Statistics"一段中的各部分的意义如下: 

    Stateful Obj—PIX stateful对象 

    xmit—传送到另一台设备的包数量 

    xerr—在传送过程中出现的错误包的数量 

    rcv—收以的包数量 

    rerr—收到的错误包的数量

    每一行的状态对象定义如下: 

    General—所有的状态对象汇总 

    sys cmd—系统命令,例LOGIN和Stay Alive 

    up time—启用时间 

    xlate—转换信息 

    tcp conn—CTCP连接信息 

    udp conn—动态UDP连接信息 

    ARP tbl—动态ARP表信息 

    RIF Tbl—动态路由表信息 

    第十五步 如果需要将轮询时间改得小于15秒,以保证正常工作,可以使用Failover poll seconds命令,缺省值为15秒,最小3秒,最大15秒。将轮询时间改小,会更快的检测到失效,但也也由于临时的拥塞和导致不必要的切换。 

    第十六步 在不接用于Fairover电缆的情况下打开备用pix电源,然后进行如下配置: 

nameif ethernet3 intf3 security40
interface ethernet3 100full
ip address intf3 192.168.3.1 255.255.255.0
failover ip address intf3 192.168.3.2
failover lan unit secondary <--optional
failover lan interface intf3
failover lan key 1234567
failover lan enable
failover
wr mem
reload


   第十七步 备用PIX启动后,将它上面用于做Failover的接口接入网络,然后使用show Failover命令验证Failover状态: 

show failover
Failover On
Cable status: Unknown
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Norml
Interface intf2 (192.168.2.1): Normal
Interface outside (192.168.1.1): Normal
Interface inside (10.1.1.1): Normal
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Normal
Interface intf2 (192.168.2.2): Normal
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.2): Normal
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
Lan Based Failover is Active
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Normal


 第十八步 使用wr mem命令将配置写到Flash Memmory中。 

failover lan interface intf3
failover lan key 1234567
failover lan enable
failover


   第三步 使用show Fail命令显示Failover状态: 

Failover On
Cable status: Unknown
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
Lan Based Failover is Active
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Down


   第四步 在从PIX上,输入下列命令: 

failover lan unit secondary <--- optional
failover lan interface intf3
failover lan key 12345678
failover lan enable
failover
wr mem
reload


   在从PIX启动后,使用Show Failover命令验证基于LAN的Failover是不是开始正常工作了,命令输出如下: 

show failover
Failover On
Cable status: Unknown
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Norml
Interface intf2 (192.168.2.1): Normal
Interface outside (192.168.1.1): Normal
Interface inside (10.1.1.1): Normal
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Normal
Interface intf2 (192.168.2.2): Normal
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.2): Normal
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
Lan Based Failover is Active
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Normal


   第五步 使用write memory命令保存配置. 

    验证Failover配置 

    可以使用如下步骤验证Failover是否配置成功: 

    第一步使用如下配置将log信息定向到log server 

logging host inside 10.1.1.5
logging trap debugging
logging on


   log server的配置参见论坛精华区的:pix log发送到linux syslog server.一贴。 

    logging trap debugging 命令申明所有级别的log信息都发送到log server上面,这样log信息会变得很多,在系统调试阶段这很有用。可以使用logging trap error命令减少发出的logo信息数目,这样就会只发送Alert\critical condition和error信息。 

    第二步 关闭主PIX电源,测试备用的PIX工作是否工作正常。 

    第三步 使用show failover命令检查备用pix是否处于活动状态。 

    第四步 使用FTP在不同的接口间传送一个大文件; 

    第五步 使用show interface 确认已经开始处理数据了。 

    第六步 也可以使用debug fover option 命令.option字段有如下选项: 

    选项 描述 

cable


 Failover电缆状态

fail


 Failover内部错误

fmsg


 Failover信息

get


 收到的IP包

ifc


 接口状态跟踪

open


 Failover设备上电

put


 转发的IP包

    Failover电缆收

rxdmp


 Failover电缆上收到的实时信息(只能在console口上) 

rxip


 接收的failover包

    Failover电缆发

txdmp


 Failover电缆上发出的实时信息(只能在console口上) 

txip


 发出的failover包

verify


 Failover信息确认

switch


 Failover切换状态

    第七步 准备好后,打开主PIX的电源,它会自动切换为活动的PIX。系统会显示如下信息: 

"Verifying LAN-Based Failover Configuration:"


 I  在PIX 6.2中如果实施了基于LAN的Failover,show failover命令可以提供更为详细的信息,例1就 是一个基于LAN的failover在使用show failover命令的输出: 

    例1 基于LAN的failover的show failover命令输出: 

pix(config)# show failover
Failover On
Cable status: Normal
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: Primary - Active
Active time: 253515 (sec)
Interface faillink (192.168.3.1): Normal
Interface outside (172.23.58.70): Normal
Interface inside (192.168.2.1): Normal
Other host: Secondary - Standby
Active time: 0 (sec)
Interface faillink (192.168.3.2): Normal
Interface outside (172.23.58.71): Normal
Interface inside (192.168.2.2): Normal
Stateful Failover Logical Update Statistics
Link : faillink
Stateful Obj xmit xerr rcv rerr
General 34177 0 34183 0
sys cmd 34175 0 34173 0
up time 2 0 2 0
xlate 0 0 0 0
tcp conn 0 0 8 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
>
Logical Update Queue Information
Cur Max Total
Recv Q: 0 1 34184
Xmit Q: 0 1 34179
>
LAN-based Failover is Active
interface dmz (171.69.39.200) Normal, peer (171.69.39.201): Normal:


   命令show failover lan可以只显示基于LAN的failover的状态。命令show failover lan detail提供了更为详细的信息, 

    例2 show failover lan detail命令输出: 

pix(config)# show failover lan detail
Lan Failover is Active
This Pix is Primary
Command Interface is dmz
Peer Command Interface IP is 171.69.39.201
My interface status is 0x1
Peer interface status is 0x1
Peer interface downtime is 0x0
Total msg send: 103093, rcvd: 103031, droped: 0, retrans: 13, send_err: 0
Total/Cur/Max of 51486:0:5 msgs on retransQ
msgs on retransQ if any
LAN FO cmd queue, count: 0, head: 0x0, tail: 0x0
Failover config state is 0x5c
Failover config poll cnt is 0
Failover pending tx msg cnt is 0
Failover Fmsg cnt is 0


   pix os6.2还提供了4个新的专门用于基于LAN failover调试的debug选项:ailover: 

    lanrx—显示基于LAN的failover接收进程的调试信息 

    lanretx—显示基于LAN的failover转发进程的调试信息 

    lantx—显示基于LAN的failover发送进程的调试信息 

    lancmd —显示基于LAN的failover主线程的调试信息

    附加的Failover信息

    Failover通讯

    在一个Failover对中的两台PIX通过一个局域网连接或专用的Failover电缆进行通讯。Failover电缆是一个工作在115.2Kbps的改进过的RS-232串行电缆。在数据中包含有主从PIX的标志位。 

    两个PIX每隔15秒在所有的接口和Failover电缆上发送一个特殊的Failover的"hello"包,可以使用failover poll seconds命令修改"hello"包的发送间隔(最小为3秒,最大15秒)。在使用stateful failover时,该值应该小一些。减少该值,可以更快的检测到失效,但也会引起一些不必要的切换。 

    PIX上的Failover特性监视着两台PIX的Failover通讯、电源状态、接口上的hello包状态。如果连续有两个hello包未收到,Failover进程开始检查接口的状态,如果主PIX有任何一个接口失效了,那么控制权就移交到备用PIX上面。 

    只有在PIX上有100Mbps或千兆网连接时才可以使用Stateful Failover,启用Stateful Failover后,每个connections的状态都在两个PIX之间进行同步。没有启用Stateful Failover的情况下,备用PIX并不维护每个连接的状态信息,这就意味着在失效发生时,所有的连接都将复位,客户端必须重新发起连接。 

Stateful Failover


所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。 

    Failover 使用如下特性去检查对方是否处于可用状态 

    链接状态测试—这是检查网卡本身的,如果一个接口卡没处于UP状态,刚认为该接口出现了故障 

    网络活动性测试—测试网络的活动状态,PIX将统计5秒内收到的所有的包,只要在这个时间范围内收到任何一个包,就谁该接口正常操作,并停止测试,如果没有任何信息收到,则进行ARP测试。 

    ARP 测试—ARP测试将读取PIX的ARP cache中最近的10条记录,PIX将以一次条的方式向这些主机发出ARP查询, 在每个查询过后,将等待5秒,如果5少内有响应则说明网络正常,如果没有响应,则进行下一条,如果所有的都没有响应,进行Ping测试。 

    广播Ping测试—在ping中,PIX将发出一个广播PING,并统计5秒内是否有响应包,如果没有,再次进行ARP测试。

    注意 在基于LAN的failover中,无法检查出PIX的掉电的情况。 

    配置复制

    把配置从主PIX复制到备用PIX有三种方式 

    备用PIX启动后,整个完整的配置被复制到备用PIX上面。 

    在主PIX上作的每个配置都将通过Failover连接复制到备用PIX上。 

    可以在主PIX上使用write standby命令将整个配置强制的传送到备用PIX上面。

    配置复制都是内存到内存的,在复制完成后,应当使用wr mem命令配置写到Flash中。如果使用基于failover电缆的failover,配置又很长时,将花很多时间来进行配置的同步,如果在同步过程中发生切换,则新的活动PIX的配置交不完整,它将重新启动,并使用Flash中的配置。在同步过程中,不能在console上输入任何信息。 

Stateful Failover


   Stateful Failover特性预先将状态信息传送到备用PIX上,在一个切换发生时,在新的活动PIX上有着同样的连接信息,用户的应用的会话不需要重新连接。 

    传送到备用PIX的状态信息包括:全局地址池和状态、连接和地址转换信息、H323UDP端口协商状态、PAT映射表,以及其它的细节信息。 

    根据特性,PIX需要15-45秒来被完成一次切换,完成切换前,stateful failover同样无法为应用提供服务。 

    Stateful Failover需要100Mbps或千兆以太连接,stateful failover接口之间的连接可以使用下面的任何一种方法: 

    使用5类交叉线直连 

    使用一个单独的100兆全双工交换机或使用一个单独的VLAN 

    使用一个单独的1000兆全双工交换机或使用一个单独的

    数据传输使用IP协议,协议号为105,在这个接口上不能有任何其它的主机或路由器。 

    图1 显示了使用Stateful Failover的两台PIX的连接. 

    图1 Stateful Failover最小配置 

    注意 所有不使用的接口均应该用shutdown命令将它shutdown. 

    禁用Failover

    可以使用no failover这样一个简单的命令来禁用failover,如果failover被禁用,show failover命令的输出如如下所示: 

show failover
Failover Off
Cable Status: My side not connected
Reconnect timeout: 0:00:00


 Failover使用须知

    在使用PIX Failover时应该注意如下事项: 

    1. 在连接PIX的交换机上做如下配置: 

    a. 在直接连接PIX的端口上启用portfast 

    b. 在直接连接PIX的端口上关于trunking 

    c. 在直接连接PIX的端口上关于channeling. 

    d. 确认MSFC运行的IOS版本不是已废除的版本。 

    注意 从CAT OS 5.4开始增加了一个新的命令 set port host.这个命令可以直接执行前三个操作,可以使用端口在up后的一秒内开始转发数据。

    2. PIX failover备用机有意设置为用于failover环境,不能单独使用,如果单独使用,每24小时内至少会重启一次,并会出现如下提示信息 

=========================NOTICE ==========================
This machine is running in secondary mode without
a connection to an active primary PIX. Please
check your connection to the primary system.
REBOOTING....
==========================================================


 3. 一台只有failover特性集的PIX在未连接failover电缆到主PIX或者没有连接failover接口时,将在启用时死机。 

    4. 备用PIX上所做的配置更改不会同步到主PIX上面。 

    5、Failover的信息的log级别始终为2-critical condition 

    Failover配置实例

    网络拓朴如下图所示: 

    例1 Failover 配置 

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 failover security10
nameif ethernet3 unused security20
enable password xxx encrypted
passwd xxx encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 20
no logging timestamp
no logging standby
logging console errors
no logging monitor
no logging buffered
no logging trap
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 10baset
interface ethernet2 100full
interface ethernet3 10baset
mtu outside 1500
mtu inside 1500
mtu failover 1500
mtu unused 1500
ip address outside 209.165.201.1
255.255.255.224
ip address inside 192.168.2.1 255.255.255.0
ip address failover 192.168.254.1
255.255.255.0
ip address unused 192.168.253.1
255.255.255.252
failover
failover ip address outside 209.165.201.2
failover ip address inside 192.168.2.2
failover ip address failover 192.168.254.2
failover ip address unused 192.168.253.2
failover link failover
arp timeout 14400
global (outside) 1 209.165.201.3 netmask 255.255.255.224
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 209.165.201.5
192.168.2.5 netmask 255.255.255.255 0 0
access-list acl_out permit tcp any 209.165.201.5 eq 80
access-list acl_out permit icmp any any
access-group acl_out in interface outside
access-list acl_ping permit icmp any any
access-group acl_ping in interface inside
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
no rip failover passive
no rip failover default
route outside 0 0 209.165.201.4 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00
udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
telnet timeout 5
terminal width 80


 例2 基于LAN的Failover主PIX配置 

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 stateful security10
nameif ethernet3 lanfover security20
enable password xxx encrypted
passwd xxx encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 20
no logging timestamp
no logging standby
logging console errors
no logging monitor
no logging buffered
no logging trap
logging facility 20
logging queue 512
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
interface ethernet3 100full
mtu outside 1500
mtu inside 1500
mtu failover 1500
mtu unused 1500
ip address outside 209.165.201.1 255.255.255.224
ip address inside 192.168.2.1 255.255.255.0
ip address failover 192.168.254.1 255.255.255.0
ip address unused 192.168.253.1 255.255.255.252
failover
failover ip address outside 209.165.201.2
failover ip address inside 192.168.2.2
failover ip address stateful 192.168.254.2
failover ip address lanfover 192.168.253.2
failover link stateful
failover lan unit primary
failover lan interface lanfover
failover lan key 12345678
failover lan enable
arp timeout 14400
global (outside) 1 209.165.201.3 netmask 255.255.255.224
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 209.165.201.5 192.168.2.5 netmask 255.255.255.255 0 0
access-list acl_out permit tcp any 209.165.201.5 eq 80
access-list acl_out permit icmp any any
access-group acl_out in interface outside
access-list acl_ping permit icmp any any
access-group acl_ping in interface inside
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
no rip failover passive
no rip failover default
route outside 0 0 209.165.201.4 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00
udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
telnet timeout 5
terminal width 80


 例3 基于LAN的Failover备用PIX配置 

nameif ethernet3 stateful security20
interface ethernet3 100full
ip address lanfover 192.168.253.1 255.255.255.252
failover ip address lanfover 192.168.254.2
failover lan unit primary
failover lan interface lanfover
failover lan key 12345678
failover lan enable
failover


   第二步 将主、从PIX上配置了IP地址的所有接口的网线都接好。

    第三步 将Failover电缆上标有"Primary"的那头接到主PIX的Failover口上,标有"Secondary"的那头接到从PIX上面

    第四步 只配置主PIX.在主PIX上使用write mem命令时,配置会自动写到备用PIX的FLASH中。

该贴由system转至本版2014-9-6 8:19:24




赞(0)    操作        顶端 
总帖数
1
每页帖数
101/1页1
返回列表
发新帖子
请输入验证码: 点击刷新验证码
您需要登录后才可以回帖 登录 | 注册
技术讨论