|
Failover的系统需求
要配置pix failover需要两台PIX满足如下要求:
型号一致(PIX 515E不能和PIX 515进行failover)
软件版本相同
激活码类型一致(都是DES或3DES)
闪存大小一致
内存大小一致
Failover中的两个设备中,至少需要一个是UR的版本,另一个可以是FO或者UR版本。R版本不能用于Failover,两台都是FO版版也不能用于同一个Failover环境。
注意 Pix501、Pix506/506E均不支持Failover特性。
理解Failover
Failover可以在主设备发生故障时保护网络,在配置了Stateful Failover的情况下,在从主Pix迁移到备PIX时可以不中断TCP连接。Failover发生时,两个设备都将改变状态,当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址,并开始工作。而新的备用PIX则将自己的IP和MAC设置为原备份地址。对于其它网络设备来说,由于IP和MAC都没改变,在网络中的任何地方都不需要改变arp表,也不需要等待ARP超时。
一旦正确配置了主Pix,并将电缆连接正确,主Pix将自动把配置发送到备份的PIX上面。Failover可以在所有的以太网接口上工作良好,但Stateful Failover所使用的接口只能是百兆或千兆口。
在未配置Failover或处于Failover活动状态时,pix515/515E/525/535前面板上的ACT指示灯亮,处于备用状态时,该灯灭。
将两台PIX连在一起做Fairover有两种方式:使用一条专用的高速Failover电缆做基于电缆的Failover,或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。如果做stateful Failover或做基于网络的Failover时,推荐使用100兆全双工或千兆连接。
警告 做Stateful Failover时所使用的Failover连接的速度不能低于正常工作的接口的速度。
Failover特性使PIX每隔15秒(可以使用Failover poll命令设置)就对自己的接口进行一次ARP查询。只有禁用Failover这种查询才会停止。
注意 使用static命令不当会造成Failover不能正常工作。
没有定义特殊端口的static命令,转换一个接口上接收到的流量的地址,然而,备份的PIX必须能和主PIX的每一个启用了的接口通讯,以检查该接口是否处于活动状态。
例如,下面的例子会打断正常的通讯,而不能使用:
static (inside,outside) interface 192.168.1.1
这个命令转换从outside接口来来的流量到inside接口,并转发到182.168.1.1,包括从备用PIX发过来的Failover信息。因为备用PIX无法收到响应信息,它就认为主PIX的该接口不活动,这样,备份PIX就将切换到活动状态。
要创建一个不会对Failover造成影响的static语句,在Static命令中加入端口信息。例如上例可以改写为如下形式:
static (inside, outside) tcp interface 80 192.168.1.1 80
这样,就只会转换Http流量(80端口),而对Failover信息没有影响。如果还需要转换其它流量,可以为每个端口写一条Static语句
在主PIX上配置Failover需要使用到如下命令:
failover 启用Failover
failover ip address 为备用PIX分配接口地址
failover link 启用Stateful Failover
failover lan 配置基于网络的Failover
配置基于Failover电缆的Failover
注意 如果备用PIX处于开电状态,在进行下面的操作前先将它关掉。
第一步 在活动的PIX上用clock set命令同步时钟
第二步 将主、从PIX上配置了IP地址的所有接口的网线都接好。
第三步 将Failover电缆上标有"Primary"的那头接到主PIX的Failover口上,标有"Secondary"的那头接到从PIX上面
第四步 只配置主PIX.在主PIX上使用write mem命令时,配置会自动写到备用PIX的FLASH中。
注意 在系统提示可以打开备用Pix前,不要给备用PIX上电。
第五步 使用conf t命令进入配置模式
第六步 确认在配置的任何一个interface命令中都没有使用auto或1000auto选项,要查看interface命令,可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。
注意 如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时,一要要注意在interface命令中使用100full或1000sxfull选项,而且在Stateful Failover连接上的MTU一定要设置为1500或更大。
Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。
第七步 在interface配置正确后使用clear xlate命令.
第八步 正确配置接口的IP地址。配置完后可以使用show ip address命令查看:
show ip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
当主PIX处于活动状态时,Current IP Addresses和System IP Addresses相同,当主PIX得失效状态时,Current IP Addresses会变成备用PIX的IP地址.
第九步 在主PIX上使用failover命令启用Failover。
第十步 使用show failover验证状态,输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): Unknown (Waiting)
Interface intf3 (0.0.0.0): Unknown (Waiting)
Interface intf2 (0.0.0.0): Unknown (Waiting)
Interface outside (0.0.0.0): Unknown (Waiting)
Interface inside (0.0.0.0): Unknown (Waiting)
show failover命令输出的cable状态可能有如下值:
My side not connected—标志着在使用show failover命令时failover电缆未正确连接。
Normal—标志主从pix都操作正常.
Other side is not connected—标志对端未正确连接failover电缆。
Other side powered off—标志对端没开电。
在接口IP地址右边的标志有如下类型:
Failed—接口失效.
Link Down—接口链路层协议
Normal—正常
Shut Down—该接口被手工停用了(在interfac命令中使用了shutown参数)
Unknown—该接口未配置IP地
Waiting—还没有开始监视对端的接口状态。
第十一步 使用failover ip address命令声明备用PIX的每一个接口的地址,只需要在主pix上配置,该地址不能和主PIX的地址相当,但每一个接口的地址都可以在同一个子网内。如下例年示:
failover ip address inside 10.1.1.2
failover ip address outside 192.168.1.2
failover ip address intf2 192.168.2.2
failover ip address intf3 192.168.3.2
failover ip address 4th 172.16.1.2
配置后,再show failover的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
第十二步 如果要配置Stateful Failover,使用failover link命令来定义要使用哪一个接口来传输状态信息,在本例中使用4th,命令如下:
failover link 4th
第十三步 启用Stateful Failover,show failover命令的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
Stateful Failover Logical ** Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical ** Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
在"Stateful Failover Logical ** Statistics"一段中的各部分的意义如下:
Stateful Obj—PIX stateful对象
xmit—传送到另一台设备的包数量
xerr—在传送过程中出现的错误包的数量
rcv—收以的包数量
rerr—收到的错误包的数量
每一行的状态对象定义如下:
General—所有的状态对象汇总
sys cmd—系统命令,例LOGIN和Stay Alive
up time—启用时间
xlate—转换信息
tcp conn—CTCP连接信息
udp conn—动态UDP连接信息
ARP tbl—动态ARP表信息
RIF Tbl—动态路由表信息
第十四步 如果需要将轮询时间改得小于15秒,以保证正常工作,可以使用Failover poll seconds命令,缺省值为15秒,最小3秒,最大15秒。将轮询时间改小,会更快的检测到失效,但也也由于临时的拥塞和导致不必要的切换。
第十五步 打开备用pix的电源,一上电,主pix就会将配置同步到备用PIX上面,会出现 "Sync Started"和"Sync Completed"两条信息.
第十六步 在备用的pix启用后,show failover命令的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal
Interface intf3 (192.168.3.1): Normal
Interface intf2 (192.168.2.1): Normal
Interface outside (192.168.1.1): Normal
Interface inside (10.1.1.1): Normal
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Normal
Interface intf3 (192.168.3.2): Normal
Interface intf2 (192.168.2.2): Normal
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.2): Normal
Stateful Failover Logical ** Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical ** Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
第十七步 使用wr mem命令将配置同时写入主从pix.
配置基于LAN的Failover
从PixOS 6.2开始支持基于LAN的Failover,这样,就不再需要Fairover电缆了。基于LAN的Fairover突破了Failover的6英尺的距离限制。
注意 要配置基于LAN的Failover,每台PIX需要一个单独的以太接口,并且必须接在一台交换的交换机或一个单独的VLAN上。不能使用交叉线将两台PIX直接连接起来。
在基于LAN的Failover中,Fairover消息通过LAN进行传输,所有相关的安全性要低于基于Failover电缆的做法,在PIX os 6.2中提供了一种使用手工预先设置共享密码的加密与认证机制。
配置步骤:
第一步 在活动的PIX上面用Clock set命令设置时钟
第二步 将主、从PIX上除用于LAN Fairover以外的所有配置了IP地址的所有接口的网线都接好。
第三步 如果连接了Fairover电缆,把它给拨掉。
第四步 只配置主PIX.在主PIX上使用write mem命令时,配置会自动写到备用PIX的FLASH中。
注意 在系统提示可以打开备用Pix前,不要给备用PIX上电。
第五步 使用conf t命令进入配置模式
第六步 确认在配置的任何一个interface命令中都没有使用auto或1000auto选项,要查看interface命令,可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。
注意 如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时,一要要注意在interface命令中使用100full或1000sxfull选项,而且在Stateful Failover连接上的MTU一定要设置为1500或更大。
Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。
第七步 在interface配置正确后使用clear xlate命令.
第八步 正确配置接口的IP地址。配置完后可以使用show ip address命令查看:
show ip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
当主PIX处于活动状态时,Current IP Addresses和System IP Addresses相同,当主PIX得失效状态时,Current IP Addresses会变成备用PIX的IP地址.
第九步 在主PIX上使用failover命令启用Failover。
第十步 使用show failover验证状态,输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): Unknown (Waiting)
Interface intf3 (0.0.0.0): Unknown (Waiting)
Interface intf2 (0.0.0.0): Unknown (Waiting)
Interface outside (0.0.0.0): Unknown (Waiting)
Interface inside (0.0.0.0): Unknown (Waiting)
show failover命令输出的cable状态可能有如下值:
My side not connected—标志着在使用show failover命令时failover电缆未正确连接。
Normal—标志主从pix都操作正常.
Other side is not connected—标志对端未正确连接failover电缆。
Other side powered off—标志对端没开电。
在接口IP地址右边的标志有如下类型:
Failed—接口失效.
Link Down—接口链路层协议
Normal—正常
Shut Down—该接口被手工停用了(在interfac命令中使用了shutown参数)
Unknown—该接口未配置IP地
Waiting—还没有开始监视对端的接口状态。
第十一步 使用failover ip address命令声明备用PIX的每一个接口的地址,只需要在主pix上配置,该地址不能和主PIX的地址相当,但每一个接口的地址都可以在同一个子网内。如下例年示:
failover ip address inside 10.1.1.2
failover ip address outside 192.168.1.2
failover ip address intf2 192.168.2.2
failover ip address intf3 192.168.3.2
failover ip address 4th 172.16.1.2
配置后,再show failover的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
第十二步 将用于LAN Fairover的接口接入网络,然后在主PIX上配置:
no failover
failover lan unit primary
failover lan interface intf3
failover lan key 1234567
failover lan enable
failover
第十三步 如果要配置Stateful Failover,使用failover link命令来定义要使用哪一个接口来传输状态信息,在本例中使用4th,命令如下:
failover link 4th
第十四步 启用Stateful Failover,show failover命令的输出如下:
show failover
Failover On
Cable status: Unknown
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
Stateful Failover Logical ** Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical ** Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
Lan Based Failover is Active
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Unknown
在"Stateful Failover Logical ** Statistics"一段中的各部分的意义如下:
Stateful Obj—PIX stateful对象
xmit—传送到另一台设备的包数量
xerr—在传送过程中出现的错误包的数量
rcv—收以的包数量
rerr—收到的错误包的数量
每一行的状态对象定义如下:
General—所有的状态对象汇总
sys cmd—系统命令,例LOGIN和Stay Alive
up time—启用时间
xlate—转换信息
tcp conn—CTCP连接信息
udp conn—动态UDP连接信息
ARP tbl—动态ARP表信息
RIF Tbl—动态路由表信息
第十五步 如果需要将轮询时间改得小于15秒,以保证正常工作,可以使用Failover poll seconds命令,缺省值为15秒,最小3秒,最大15秒。将轮询时间改小,会更快的检测到失效,但也也由于临时的拥塞和导致不必要的切换。
第十六步 在不接用于Fairover电缆的情况下打开备用pix电源,然后进行如下配置:
nameif ethernet3 intf3 security40
interface ethernet3 100full
ip address intf3 192.168.3.1 255.255.255.0
failover ip address intf3 192.168.3.2
failover lan unit secondary <--optional
failover lan interface intf3
failover lan key 1234567
failover lan enable
failover
wr mem
reload
继续整理中......
| 
|熊猫同学技术论坛|小黑屋|
网络工程师论坛
( 沪ICP备09076391 )
发表于 2011-6-16 10:59:12
提升卡
置顶卡
变色卡
显身卡