思科ASA防火墙配置.doc

配置PIX Failover简介：本文描述了Pix Failover特性的配置。Failover的系统需求要配置pix failover需要两台PIX满足如下要求： 型号一致(PIX 515E不能和PIX 515进行failover) 软件版本相同 激活码类型一致(都是DES或3DES) 闪存大小一致 内存大小一致Failover中的两个设备中，至少需要一个是UR的版本，另一个可以是FO或者UR版本。R版本不能用于Failover，两台都是FO版版也不能用于同一个Failover环境。注意Pix501、Pix506/506E均不支持Failover特性。理解FailoverFailover可以在主设备发生故障时保护网络，在配置了StatefulFailover的情况下，在从主Pix迁移到备PIX时可以不中断TCP连接。Failover发生时，两个设备都将改变状态，当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址，并开始工作。而新的备用PIX则将自己的IP和MAC设置为原备份地址。对于其它网络设备来说，由于IP和MAC都没改变，在网络中的任何地方都不需要改变arp表，也不需要等待ARP超时。一旦正确配置了主Pix，并将电缆连接正确，主Pix将自动把配置发送到备份的PIX上面。Failover可以在所有的以太网接口上工作良好，但Stateful Failover所使用的接口只能是百兆或千兆口。在未配置Failover或处于Failover活动状态时，pix515/515E/525/535前面板上的ACT指示灯亮，处于备用状态时，该灯灭。将两台PIX连在一起做Fairover有两种方式：使用一条专用的高速Failover电缆做基于电缆的Failover，或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。如果做stateful Failover或做基于网络的Failover时，推荐使用100兆全双工或千兆连接。警告做Stateful Failover时所使用的Failover连接的速度不能低于正常工作的接口的速度。 Failover特性使PIX每隔15秒（可以使用Failover poll命令设置）就对自己的接口进行一次ARP查询。只有禁用Failover这种查询才会停止。注意使用static命令不当会造成Failover不能正常工作。 没有定义特殊端口的static命令，转换一个接口上接收到的流量的地址，然而，备份的PIX必须能和主PIX的每一个启用了的接口通讯，以检查该接口是否处于活动状态。 例如，下面的例子会打断正常的通讯，而不能使用：static (inside,outside) interface 这个命令转换从outside接口来来的流量到inside接口，并转发到，包括从备用PIX发过来的Failover信息。因为备用PIX无法收到响应信息，它就认为主PIX的该接口不活动，这样，备份PIX就将切换到活动状态。要创建一个不会对Failover造成影响的static语句，在Static命令中加入端口信息。例如上例可以改写为如下形式： static (inside, outside) tcp interface 80 80 这样，就只会转换Http流量（80端口），而对Failover信息没有影响。如果还需要转换其它流量，可以为每个端口写一条Static语句 在主PIX上配置Failover需要使用到如下命令： failover 启用Failover failover ip address 为备用PIX分配接口地址 failover link 启用Stateful Failover failover lan 配置基于网络的Failover 配置基于Failover电缆的Failover注意 如果备用PIX处于开电状态，在进行下面的操作前先将它关掉。第一步在活动的PIX上用clock set命令同步时钟第二步将主、从PIX上配置了IP地址的所有接口的网线都接好。第三步将Failover电缆上标有Primary的那头接到主PIX的Failover口上，标有Secondary的那头接到从PIX上面第四步只配置主PIX.在主PIX上使用write mem命令时，配置会自动写到备用PIX的FLASH中。注意在系统提示可以打开备用Pix前，不要给备用PIX上电。第五步使用conf t命令进入配置模式第六步确认在配置的任何一个interface命令中都没有使用auto或1000auto选项，要查看interface命令，可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。注意如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时，一要要注意在interface命令中使用100full或1000sxfull选项，而且在Stateful Failover连接上的MTU一定要设置为1500或更大。Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度，例如，inside和outside使用的安装在总线0上的PIX-1GE-66卡，则Failover连接必须也使用PIX-1GE-66卡，并安装在总线1上，在这种情况不，不能使用Pix-1GE或PIX-1FE的卡，也不能在总线2或使用一个更慢的卡共享总线1的。 第七步在interface配置正确后使用clear xlate命令.第八步正确配置接口的IP地址。配置完后可以使用show ip address命令查看： show ip address System IP Addresses: ip address outside ip address inside ip address intf2 ip address intf3 ip address 4th Current IP Addresses: ip address outside ip address inside ip address intf2 ip address intf3 ip address 4th 当主PIX处于活动状态时，Current IP Addresses和System IP Addresses相同，当主PIX得失效状态时，Current IP Addresses会变成备用PIX的IP地址. 第九步在主PIX上使用failover命令启用Failover。第十步使用show failover验证状态，输出如下：show failover Failover On Cable status: Other side powered off Reconnect timeout 0:00:00 Poll frequency 15 seconds This host: primary - Active Active time: 225 (sec) Interface 4th (): Normal (Waiting) Interface intf3 (): Normal (Waiting) Interface intf2 (): Normal (Waiting) Interface outside (): Normal (Waiting) Interface inside (): Normal (Waiting) Other host: secondary - Standby Active time: 0 (sec) Interface 4th (): Unknown (Waiting) Interface intf3 (): Unknown (Waiting) Interface intf2 (): Unknown (Waiting) Interface outside (): Unknown (Waiting) Interface inside (): Unknown (Waiting) show failover命令输出的cable状态可能有如下值: My side not connected标志着在使用show failover命令时failover电缆未正确连接。 Normal标志主从pix都操作正常. Other side is not connected标志对端未正确连接failover电缆。 Other side powered off标志对端没开电。在接口IP地址右边的标志有如下类型： Failed接口失效. Link Down接口链路层协议 Normal正常 Shut Down该接口被手工停用了（在interfac命令中使用了shutown参数） Unknown该接口未配置IP地 Waiting还没有开始监视对端的接口状态。 第十一步使用failover ip address命令声明备用PIX的每一个接口的地址，只需要在主pix上配置，该地址不能和主PIX的地址相当，但每一个接口的地址都可以在同一个子网内。如下例年示：failover ip address inside failover ip address outside failover ip address intf2 failover ip address intf3 failover ip address 4th 配置后，再show failover的输出如下： show failover Failover On Cable status: Other side powered off Reconnect timeout 0:00:00 Poll frequency 15 seconds This host: primary - Active Active time: 510 (sec) Interface 4th (): Normal (Waiting) Interface intf3 (): Normal (Waiting) Interface intf2 (): Normal (Waiting) Interface outside (): Normal (Waiting) Interface inside (): Normal (Waiting) Other host: secondary - Standby Active time: 0 (sec) Interface 4th (): Unknown (Waiting) Interface intf3 (): Unknown (Waiting) Interface intf2 (): Unknown (Waiting) Interface outside (): Unknown (Waiting) Interface inside (): Unknown (Waiting) 第十二步如果要配置Stateful Failover,使用failover link命令来定义要使用哪一个接口来传输状态信息，在本例中使用4th，命令如下：failover link 4th 第十三步启用Stateful Failover,show failover命令的输出如下：show failover Failover On Cable status: Other side powered off Reconnect timeout 0:00:00 Poll frequency 15 seconds This host: primary - Active Active time: 510 (sec) Interface 4th (): Normal (Waiting) Interface intf3 (): Normal (Waiting) Interface intf2 (): Normal (Waiting) Interface outside (): Normal (Waiting) Interface inside (): Normal (Waiting) Other host: secondary - Standby Active time: 0 (sec) Interface 4th (): Unknown (Waiting) Interface intf3 (): Unknown (Waiting) Interface intf2 (): Unknown (Waiting) Interface outside (): Unknown (Waiting) Interface inside (): Unknown (Waiting) Stateful Failover Logical Update Statistics Link : 4th Stateful Obj xmit xerr rcv rerr General 0 0 0 0 sys cmd 0 0 0 0 up time 0 0 0 0 xlate 0 0 0 0 tcp conn 0 0 0 0 udp conn 0 0 0 0 ARP tbl 0 0 0 0 RIP Tbl 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 0 0 Xmit Q: 0 0 0 在Stateful Failover Logical Update Statistics一段中的各部分的意义如下： Stateful ObjPIXstateful对象 xmit传送到另一台设备的包数量 xerr在传送过程中出现的错误包的数量 rcv收以的包数量 rerr收到的错误包的数量每一行的状态对象定义如下: General所有的状态对象汇总 sys cmd系统命令，例LOGIN和Stay Alive up time启用时间 xlate转换信息 tcp connCTCP连接信息 udp conn动态UDP连接信息 ARP tbl动态ARP表信息 RIF Tbl动态路由表信息 第十四步如果需要将轮询时间改得小于15秒，以保证正常工作，可以使用Failover poll seconds命令，缺省值为15秒，最小3秒，最大15秒。将轮询时间改小，会更快的检测到失效，但也也由于临时的拥塞和导致不必要的切换。第十五步打开备用pix的电源，一上电，主pix就会将配置同步到备用PIX上面，会出现 Sync Started和Sync Completed两条信息.第十六步在备用的pix启用后，show failover命令的输出如下：show failover Failover On Cable status: Other side powered off Reconnect timeout 0:00:00 Poll frequency 15 seconds This host: primary - Active Active time: 510 (sec) Interface 4th (): Normal Interface intf3 (): Normal Interface intf2 (): Normal Interface outside (): Normal Interface inside (): Normal Other host: secondary - Standby Active time: 0 (sec) Interface 4th (): Normal Interface intf3 (): Normal Interface intf2 (): Normal Interface outside (): Normal Interface inside (): Normal Stateful Failover Logical Update Statistics Link : 4th Stateful Obj xmit xerr rcv rerr General 0 0 0 0 sys cmd 0 0 0 0 up time 0 0 0 0 xlate 0 0 0 0 tcp conn 0 0 0 0 udp conn 0 0 0 0 ARP tbl 0 0 0 0 RIP Tbl 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 0 0 Xmit Q: 0 0 0 第十七步使用wr mem命令将配置同时写入主从pix.配置基于LAN的Failover从PixOS 6.2开始支持基于LAN的Failover，这样，就不再需要Fairover电缆了。基于LAN的Fairover突破了Failover的6英尺的距离限制。注意要配置基于LAN的Failover，每台PIX需要一个单独的以太接口，并且必须接在一台交换的交换机或一个单独的VLAN上。不能使用交叉线将两台PIX直接连接起来。在基于LAN的Failover中，Fairover消息通过LAN进行传输，所有相关的安全性要低于基于Failover电缆的做法，在PIX os 6.2中提供了一种使用手工预先设置共享密码的加密与认证机制。配置步骤：第一步在活动的PIX上面用Clock set命令设置时钟第二步将主、从PIX上除用于LAN Fairover以外的所有配置了IP地址的所有接口的网线都接好。第三步如果连接了Fairover电缆，把它给拨掉。第四步只配置主PIX.在主PIX上使用write mem命令时，配置会自动写到备用PIX的FLASH中。注意在系统提示可以打开备用Pix前，不要给备用PIX上电。第五步使用conf t命令进入配置模式第六步确认在配置的任何一个interface命令中都没有使用auto或1000auto选项，要查看interface命令，可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。注意如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时，一要要注意在interface命令中使用100full或1000sxfull选项，而且在Stateful Failover连接上的MTU一定要设置为1500或更大。Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度，例如，inside和outside使用的安装在总线0上的PIX-1GE-66卡，则Failover连接必须也使用PIX-1GE-66卡，并安装在总线1上，在这种情况不，不能使用Pix-1GE或PIX-1FE的卡，也不能在总线2或使用一个更慢的卡共享总线1的。 第七步在interface配置正确后使用clear xlate命令.第八步正确配置接口的IP地址。配置完后可以使用show ip address命令查看： show ip address System IP Addresses: ip address outside ip address inside ip address intf2 ip address intf3 ip address 4th Current IP Addresses: ip address outside ip address inside ip address intf2 ip address intf3 ip address 4th 当主PIX处于活动状态时，Current IP Addresses和System IP Addresses相同，当主PIX得失效状态时，Current IP Addresses会变成备用PIX的IP地址. 第九步在主PIX上使用failover命令启用Failover。第十步使用show failover验证状态，输出如下：show failover Failover On Cable status: Other side powered off Reconnect timeout 0:00:00 Poll frequency 15 seconds This host: primary - Active Active time: 225 (sec) Interface 4th (): Normal (Waiting) Interface intf3 (): Normal (Waiting) Interface intf2 (): Normal (Waiting) Interface outside (): Normal (Waiting) Interface inside (): Normal (Waiting) Other host: secondary - Standby Active time: 0 (sec) Interface 4th (): Unknown (Waiting) Interface intf3 (): Unknown (Waiting) Interface intf2 (): Unknown (Waiting) Interface outside (): Unknown (Waiting) Interface inside (): Unknown (Waiting) show failover命令输出的cable状态可能有如下值: My side not connected标志着在使用show failover命令时failover电缆未正确连接。 Normal标志主从pix都操作正常. Other side is not connected标志对端未正确连接failover电缆。 Other side powered off标志对端没开电。在接口IP地址右边的标志有如下类型： Failed接口失效. Link Down接口链路层协议 Normal正常 Shut Down该接口被手工停用了（在interfac命令中使用了shutown参数） Unknown该接口未配置IP地 Waiting还没有开始监视对端的接口状态。 第十一步使用failover ip address命令声明备用PIX的每一个接口的地址，只需要在主pix上配置，该地址不能和主PIX的地址相当，但每一个接口的地址都可以在同一个子网内。如下例年示：failover ip address inside failover ip address outside failover ip address intf2 failover ip address intf3 failover ip address 4th 配置后，再show failover的输出如下： show failover Failover On Cable status: Other side powered off Reconnect timeout 0:00:00 Poll frequency 15 seconds This host: primary - Active Active time: 510 (sec) Interface 4th (): Normal (Waiting) Interface intf3 (): Normal (Waiting) Interface intf2 (): Normal (Waiting) Interface outside (): Normal (Waiting) Interface inside (): Normal (Waiting) Other host: secondary - Standby Active time: 0 (sec) Interface 4th (): Unknown (Waiting) Interface intf3 (): Unknown (Waiting) Interface intf2 (): Unknown (Waiting) Interface outside (): Unknown (Waiting) Interface inside (): Unknown (Waiting) 第十二步将用于LAN Fairover的接口接入网络，然后在主PIX上配置：no failover failover lan unit primary failover lan interface intf3 failover lan key 1234567 failover lan enable failover 第十三步如果要配置Stateful Failover,使用failover link命令来定义要使用哪一个接口来传输状态信息，在本例中使用4th，命令如下：failover link 4th 第十四步启用Stateful Failover,show failover命令的输出如下：show failover Failover On Cable status: Unknown Reconnect timeout 0:00:00 Poll frequency 15 seconds This host: primary - Active Active time: 510 (sec) Interface 4th (): Normal (Waiting) Interface intf2 (): Normal (Waiting) Interface outside (): Normal (Waiting) Interface inside (): Normal (Waiting) Other host: secondary - Standby Active time: 0 (sec) Interface 4th (): Unknown (Waiting) Interface intf2 (): Unknown (Waiting) Interface outside (): Unknown (Waiting) Interface inside (): Unknown (Waiting) Stateful Failover Logical Update Statistics Link : 4th Stateful Obj xmit xerr rcv rerr General 0 0 0 0 sys cmd 0 0 0 0 up time 0 0 0 0 xlate 0 0 0 0 tcp conn 0 0 0 0 udp conn 0 0 0 0 ARP tbl 0 0 0 0 RIP Tbl 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 0 0 Xmit Q: 0 0 0 Lan Based Failover is Active Interface intf3 (): Normal, peer () Unknown 在Stateful Failover Logical Update Statistics一段中的各部分的意义如下： Stateful ObjPIXstateful对象 xmit传送到另一台设备的包数量 xerr在传送过程中出现的错误包的数量 rcv收以的包数量 rerr收到的错误包的数量每一行的状态对象定义如下: General所有的状态对象汇总 sys cmd系统命令，例LOGIN和Stay Alive up time启用时间 xlate转换信息 tcp connCTCP连接信息 udp conn动态UDP连接信息 ARP tbl动态ARP表信息 RIF Tbl动态路由表信息 第十五步如果需要将轮询时间改得小于15秒，以保证正常工作，可以使用Failover poll seconds命令，缺省值为15秒，最小3秒，最大15秒。将轮询时间改小，会更快的检测到失效，但也也由于临时的拥塞和导致不必要的切换。第十六步 在不接用于Fairover电缆的情况下打开备用pix电源，然后进行如下配置：nameif ethernet3 intf3 security40 interface ethernet3 100full ip address intf3 failover ip address intf3 failover lan unit secondary -optional failover lan interface intf3 failover lan key 1234567 failover lan enable failover wr mem reload 第十七步备用PIX启动后，将它上面用于做Failover的接口接入网络，然后使用show Failover命令验证Failover状态：show failover Failover On Cable status: Unknown Reconnect timeout 0:00:00 Poll frequency 15 seconds This host: primary - Active Active time: 510 (sec) Interface 4th (): Norml Interface intf2 (): Normal Interface outside (): Normal Interface inside (): Normal Other host: secondary - Standby Active time: 0 (sec) Interface 4th (): Normal Interface intf2 (): Normal Interface outside (): Normal Interface inside (): Normal Stateful Failover Logical Update Statistics Link : 4th Stateful Obj xmit xerr rcv rerr General 0 0 0 0 sys cmd 0 0 0 0 up time 0 0 0 0 xlate 0 0 0 0 tcp conn 0 0 0 0 udp conn 0 0 0 0 ARP tbl 0 0 0 0 RIP Tbl 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 0 0 Xmit Q: 0 0 0 Lan Based Failover is Active Interface intf3 (): Normal, peer () Normal第十八步使用wr mem命令将配置写到Flash Memmory中。基于Failover电缆转换到基于LAN的Failover第一步使用如下命令关闭Failover no failover 第二步将用于LAN Fairover的接口接入网络，然后在主PIX上配置：failover lan interface intf3 failover lan key 1234567 failover lan enable failover第三步使用show Fail命令显示Failover状态:Failover On Cable status: Unknown Reconnect timeout 0:00:00 Poll frequency 15 seconds This host: primary - Active Active time: 510 (sec) Interface 4th (): Normal (Waiting) Interface intf2 (): Normal (Waiting) Interface outside (): Normal (Waiting) Interface inside (): Normal (Waiting) Other host: secondary - Standby Active time: 0 (sec) Interface 4th (): Unknown (Waiting) Interface intf2 (): Unknown (Waiting) Interface outside (): Unknown (Waiting) Interface inside (): Unknown (Waiting) Stateful Failover Logical Update Statistics Link : 4th Stateful Obj xmit xerr rcv rerr General 0 0 0 0 sys cmd 0 0 0 0 up time 0 0 0 0 xlate 0 0 0 0 tcp conn 0 0 0 0 udp conn 0 0 0 0 ARP tbl 0 0 0 0 RIP Tbl 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 0 0 Xmit Q: 0 0 0 Lan Based Failover is Active Interface intf3 (): Normal, peer () Down 第四步在从PIX上，输入下列命令：failover lan unit secondary - optional failover lan interface intf3 failover lan key 12345678 failover lan enable failover wr memreload 在从PIX启动后，使用Show Failover命令验证基于LAN的Failover是不是开始正常工作了，命令输出如下：show failover Failover On Cable status: Unknown Reconnect timeout 0:00:00 Poll frequency 15 seconds This host: primary - Active Active ti