防火墙故障切换_第1页
防火墙故障切换_第2页
防火墙故障切换_第3页
防火墙故障切换_第4页
防火墙故障切换_第5页
已阅读5页,还剩3页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、防火墙故障切换一、实验拓扑二、知识了解-k第一个:Failover线,又叫心跳线,是一条故障切换线;参与failover的防火 墙通过这条线决定本身的状态,即选举主备或在主设备发生故障时,次设备 成为主设备继续提供安全服务;可以是一条专用Cable或LAN线;传递配 置信息和检测信息,以及状态信息。L第二个;Statful failover线,又叫状态线;时刻传递状态信息从主到次;接该 线的接口必须大于等于用户数据接口的速率(inside、outside接口);可以使 用一个专用以太接口或共享LAN-base的Failover线,也可以共享用户但不 建议。4-第三个;Failover组网拓扑(

2、方式):基于Cable、基于LAN;基于Cable:专用线缆,仅限于PIX,ASA不支持;专用的Cable线能 快速检测对等体电源失效;备份设备不用配置,不占有以太接口;防火墙内 外口、DMZ区各占用一个子网;主备关系由电缆决定;Primary和Secondary; 限制,Cable线只有6Feet;拷贝速度慢,115Kb/s;基于LAN:使用以太网互联传递Failover信息;配置信息等;为了 Failover 线是活动的,需要在防火墙间加交换机;禁用交换机的DTP、PAGP等协议, 手工配置access portfast等;切换时,Failover线不交换IP、MAC;距离不 受限制;但是

3、交换机容易单点故障;第四个:Failover工作模式:A/S主备、A/A负载均衡; 强制切换为主Failover activeA/S主备特点:一台设备为主,另外一台为备份;同时只有一台防火墙处理用户数据;主设 备发生故障时,次设备成为主设备并接管原主设备的所有接口 Ip地址和 MAC地址;对于用户来说,整个切换是透明的。A/A负载均衡:两台防火墙同时都处理用户数据,把每台防火墙划分为两个虚拟防火墙,分 别挑选出一个Context组成failover组,共两组;每个组挑出一个Active防 火墙,Active设备,Active设备分别属于不同物理防火墙;standby设备成为 Active设备时

4、接管原active设备的接口 IP地址和MAC地址;对于用户来说, 整个切换过程是透明的。第五个:故障切换分类:正常切换(Regular Failover):发生切换的时候,全部的连接会话将被丢 弃客户端需要重新建立连接。即业务会中断。状态切换(Stateful Failover):启用状态切换,active设备时刻同步状态 给standby设备,发生切换时,业务不会中断,客户端不需要重新建立连接。三、实验目的四、实验配置基本配置:R1(config-if)#interface fa0/0R1(config-if)#ip address 200.200.200.2 255.255.255.0R

5、1(config-if)#no shutdownR1(config-if)#exitR2(config)#interface fa0/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exitR2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1SW3(config)#interface fa0/1SW3(config-if)#switchport mode accessSW3(config-if)#switchport ac

6、cess vlan 20SW3(config)#interface fa0/7SW3(config-if)#switchport mode accessSW3(config-if)#switchport access vlan 20SW3(config-if)#exitSW3(config)#interface fa0/3SW3(config-if)#switchport mode accessSW3(config-if)#switchport access vlan 10SW3(config-if)#exitSW3(config)#interface fa0/8SW3(config-if)#

7、switchport mode accessSW3(config-if)#switchport access vlan 10SW3(config-if)#exitSW3(config)#interface fa0/24SW3(config-if)#switchport mode trunkSW3(config-if)#switchport trunk allowed vlan allSW11(config)#interface fa0/24SW11(config-if)#switchport mode trunkSW11(config-if)#switchport trunk allowed

8、vlan allSW11(config)#interface fa0/7SW11(config-if)#switchport mode accessSW11(config-if)#switchport access vlan 10SW11(config)#interface fa0/8SW11(config-if)#switchport mode accessSW11(config-if)#switchport access vlan 20接口的配置不一样配置LAN的A/S模式:第一步:连接cable电缆:不要加电从设备第二步:加电主设备并配置:接口命名、IP地址、安全级别等FW4(confi

9、g)# interface ethernet 0FW4(config-if)# nameif outsideINFO: Security level for outside set to 0 by default.FW4(config-if)# security-level 0FW4(config-if)# ip address 200.200.200.1 255.255.255.0 standby 200.200.200.254FW4(config-if)# no shutdownFW4(config)# interface e1FW4(config-if)# nameif insideIN

10、FO: Security level for inside set to 100 by default.FW4(config-if)# security-level 100FW4(config-if)# ip address 192.168.1.1 255.255.255.0 standby 192.168.1.254FW4(config-if)# no shutdown做动态PAT内网访问外网pixfirewall(config)# nat (inside) 1 192.168.1.0 255.255.255.0pixfirewall(config)# global (outside) 1

11、interfacepixfirewall# show xlate1 in use, 1 most usedPAT Global 200.200.200.1(1) Local 192.168.1.2 ICMP id 4第三步主备设备都要启动FaioverFW4(config)# FaioverFW12(config)# Faiover没有切换之前FW4# show int ip brInterfaceIP-AddressOK? Method StatusProtocolEthernet0200.200.200.1YES manual upupEthernet1192.168.1.1YES man

12、ual upupEthernet2unassignedYES unset administratively downupFW4(config)#FW4(config)# show mode Security context mode: singleFW4(config)# show fir Firewall mode: RouterLast Failure ReasonPrimaryNoneSecondaryDate/TimeStandby Ready Comm Failure =Configuration State= Sync Done=Communication State= Mac s

13、etFW4(config)# show int ip brInterfaceIP-AddressEthernet0200.200.200.254Ethernet1192.168.1.254Ethernet2unassignedFW4(config)# show failover state StateLast Failure ReasonThis host - Secondary Standby Ready None Other host - Primary ActiveNone=Configuration State=Sync Done - STANDBY =Communication St

14、ate= Mac set 第四步 切换之后,会有提小 FW4#Switching to Standby 原本是FW12 FW4#Switching to Active 备份防火墙会和主防火墙的配置一样,02:06:31 UTC Jan 1 1993OK? Method StatusYES CONFIG upYES CONFIG upYES unset administratively downDate/TimeProtocoluPuPuP原来主防火墙的配置的IP会用备份IP。InterfaceNameIP addressSubnet maskMethodEthernet0outside200.

15、200.200.1255.255.255.0CONFIGEthernet1inside192.168.1.1255.255.255.0CONFIGCurrent IP Addresses:InterfaceNameIP addressSubnet maskMethodFW4# show ipSystem IP Addresses:FW4(config)# Beginning configuration replication: Sending to mate. End Configuration Replication to mate FW4(config)# show failover st

16、ate State This host Active Other host -Ethernet0outside200.200.200.1255.255.255.0 CONFIGEthernetlinside192.168.1.1255.255.255.0 CONFIG如果在接口 shutdown,不会看到结果,只有将物理接口 shutdown 了,才会看到现象。基于LAN-base的A/A模式第一步,连接好failover线和stateful failover线,不加电设备;第二步,加电主设备并配置;基本配置:改单模式为多模式,在系统执行环境下配置;SW7(config)#vlan 10SW7

17、(config-vlan)#vlan 20SW7(config-vlan)#vlan 30SW7(config-vlan)#exitSW7(config)#interface fa0/7SW7(config-if)#switchport mode accessSW7(config-if)#switchport access vlan 10SW7(config-if)#exitSW7(config)#interface fa0/8SW7(config-if)#switchport mode accessSW7(config-if)#switchport access vlan 20SW7(con

18、fig-if)#exitSW7(config)#interface fa0/9SW7(config-if)#switchport mode accessSW7(config-if)#switchport access vlan 30SW7(config)#interface fa0/1SW7(config-if)#switchport mode accessSW7(config-if)#switchport access vlan 10SW7(config-if)#exitSW7(config)#interface fa0/3SW7(config-if)#switchport mode acc

19、essSW7(config-if)#switchport access vlan 20SW7(config-if)#exitSW7(config)#interface fa0/24SW7(config-if)#switchport mode trunkSW7(config-if)#switchport trunk allowed vlan allSW3(config)#vlan 10SW3(config-vlan)#vlan 20SW3(config-vlan)#vlan 30SW3(config-vlan)#exitSW3(config)#interface fa0/9SW3(config-

20、if)#switchport mode accessSW3(config-if)#switchport access vlan 10SW3(config-if)#exitSW3(config)#interface fa0/23SW3(config-if)#switchport mode accessSW3(config-if)#switchport access vlan 20SW3(config-if)#exitSW3(config)#interface fa0/8SW3(config-if)#switchport mode accessSW3(config-if)#switchport a

21、ccess vlan 30SW3(config-if)#exitSW3(config)#interface fa0/24SW3(config-if)#switchport mode trunkSW3(config-if)#switchport trunk allowed vlan allRt5(config)#interface fa0/0Rt5(config-if)#ip address 192.168.1.2 255.255.255.0Rt5(config-if)#no shutdownRt5(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1RT6(

22、config)#interface fa0/0RT6(config-if)#ip address 200.200.200.2 255.255.255.0RT6(config-if)#no shutdownRT6(config-if)#exit做动态PAT内网访问外网pixfirewall(config)# nat (inside) 1 192.168.1.0 255.255.255.0pixfirewall(config)# global (outside) 1 interfacepixfirewall# show xlate1 in use, 1 most usedPAT Global 20

23、0.200.200.1(1) Local 192.168.1.2 ICMP id 4主设备配置pixfirewall(config)# failoverpixfirewall(config)# failover lan unit primarypixfirewall(config)# failover lan interface abc Ethernet2pixfirewall(config)# failover lan enablepixfirewall(config)# failover interface ip abc 192.16.10.1 255.255.255.0 standby

24、192.168.10.254备设备配置pixfirewall(config)# failoverpixfirewall(config)# failover lan unit secondarypixfirewall(config)# failover lan interface abc Ethernet2pixfirewall(config)# failover lan enablepixfirewall(config)# failover interface ip abc 192.16.10.1 255.255.255.0 standby 192.168.10.254切换之前pixfirew

25、all# show failoverFailover OnCable status: N/A - LAN-based failover enabledFailover unit PrimaryFailover LAN Interface: abc Ethernet2 (up)Unit Poll frequency 15 seconds, holdtime 45 secondsInterface Poll frequency 5 seconds, holdtime 25 secondsInterface Policy 1Monitored Interfaces 2 of 250 maximumV

26、ersion: Ours 8.0(2), Mate 8.0(2)Last Failover at: 09:07:53 UTC Dec 5 2011This host: Primary - ActiveActive time: 3180 (sec)Interface outside (200.200.200.1): Normal (Waiting)Interface inside (192.168.1.1): Normal (Waiting)Other host: Secondary - Standby ReadyActive time: 2295 (sec)Interface outside

27、(0.0.0.0): Normal (Waiting)Interface inside (0.0.0.0): Normal (Waiting)看到效果FW8# (config)#Switching to StandbyFW4 (config)#State check detected an Active mateBeginning configuration replication from mate.End configuration replication from mate.Switching to StandbySwitching to ActiveFW8# sho failover stateStateLast Failure Reason Date/TimeThis host - SecondaryActiveNoneOther host - PrimaryFailedIfc Failure21:09:46 UTC Dec 72011=Configuration State=Sync Done - STANDBY=Communication State=Mac setFW8# show fa

人人文库> 全部分类> 图纸下载 > 毕业设计

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论