第五课故障切换

1、第五课故障切换第1页，共67页，2022年，5月20日，1点27分，星期一第五章：故障恢复蓝狐网络技术培训学校故障恢复产生背景故障恢复功能简介故障恢复技术特点故障恢复组网应用故障恢复详细配置第2页，共67页，2022年，5月20日，1点27分，星期一5.1 故障恢复产生背景在当今网络中，用户对一些重要业务入口或接入点的可靠性要求越来越高，如何保证网络避免单点故障，保证网络的不间断传输，成为网络急需解决的一个问题蓝狐网络技术培训学校第3页，共67页，2022年，5月20日，1点27分，星期一5.1 故障恢复产生背景传统备份组网方案适用于接入点是路由器等转发设备的情况。因为经过设备的每个报文都是查

2、找转发表进行转发，链路切换后，后续报文的转发不受影响。但是当接入点是状态防火墙等设备时，由于状态防火墙是基于连接状态的，当用户发起会话时，状态防火墙只会对会话的首包进行检查，如果首包允许通过则会建立一个会话表项（表项里包括源IP、源端口、目的IP、目的端口等信息），只有匹配该会话表项的后续报文（包括返回报文）才能够通过防火墙。如果链路切换后，后续报文找不到正确的表项，会导致当前业务中断。蓝狐网络技术培训学校第4页，共67页，2022年，5月20日，1点27分，星期一故障恢复蓝狐网络技术培训学校故障恢复产生背景故障恢复功能简介故障恢复技术特点故障恢复组网应用故障恢复详细配置第5页，共67页，20

3、22年，5月20日，1点27分，星期一蓝狐网络技术培训学校Primary: ActiveSecurity ApplianceInternetSecondary: StandbySecurity ApplianceSerialCable failover功能简介安全设备支持两种故障恢复类型：常规故障恢复和状态故障恢复Hardware failoverStateful failover第6页，共67页，2022年，5月20日，1点27分，星期一5.2 故障恢复简介安全设备支持两种故障恢复类型：常规故障恢复和状态故障恢复Hardware failover连接都被丢弃.客户端应用程序必须重新连接提供硬

4、件冗余提供serial-based或者LAN-based failoverStateful failoverTCP连接保持活跃状态客户端应用程序不需要重新连接.提供冗余和状态连接通过 stateful link. 提供蓝狐网络技术培训学校第7页，共67页，2022年，5月20日，1点27分，星期一5.2 故障恢复简介状态链路接口用于传递从主动单元到备用单元所有已经建立连接的状态。在每一个状态故障恢复设置中，传递到备用单元的信息包含如下内容蓝狐网络技术培训学校NAT的转换表TCP连接UDP的连接状态ARP条目在透明防火墙模式运行下的第2层桥接表HTTP链路状态（如启用HTTP复制）Interne

5、t安全关联和密钥管理协议（ISAKMP）IPSEC 的SA服务表第8页，共67页，2022年，5月20日，1点27分，星期一故障恢复蓝狐网络技术培训学校故障恢复产生背景故障恢复功能简介故障恢复技术特点故障恢复组网应用故障恢复详细配置第9页，共67页，2022年，5月20日，1点27分，星期一故障恢复技术特点蓝狐网络技术培训学校故障恢复设备要求故障恢复工作方式故障恢复工作模式故障恢复健康监测第10页，共67页，2022年，5月20日，1点27分，星期一5.3 故障恢复设备要求故障恢复对其中的两个安全设备必须完全相同，并且通过专用故障恢复链路（接口）连接。若启用安全设备上的故障恢复特性，则设备需要

6、满足下列条件：蓝狐网络技术培训学校具有相同数量的模块和硬件配置；具有相同的接口号和类型；具有相同的内存容量和RAM容量；处于相同的操作模式（路由或透明，单一或多环境）；具有相同的软件版本；(主、次版本必须一致)具有相同的特性： （DES或3DES）;合适的licensing第11页，共67页，2022年，5月20日，1点27分，星期一故障恢复技术特点蓝狐网络技术培训学校故障恢复设备要求故障恢复工作方式故障恢复工作模式故障恢复健康监测第12页，共67页，2022年，5月20日，1点27分，星期一故障恢复工作方式蓝狐网络技术培训学校基于cable的工作方式基于LAN的工作方式第13页，共67页，2

7、022年，5月20日，1点27分，星期一5.4 故障恢复链路类型 蓝狐网络技术培训学校Cable-BasedSecondary Security AppliancePrimary Security Appliance /24.1e0e0 /24e1e1.11InternetCable-BasedLAN-Basede2e2LAN-Basede3e3StatefulLinkStateful第14页，共67页，2022年，5月20日，1点27分，星期一5.4.1 故障恢复链路类型串行电缆的故障恢复链路（仅PIX 500系列支持）：蓝狐网络技术培训学校 此电缆是一个专用串行电缆，能提供较快的收敛。安全

8、设备可以感知对等体单元的功率损耗。 故障切换中的两个单元通过故障切换电缆连通.故障切换电缆是一个改良长6英尺的RS-232系列链路电缆,以115kbit/s的速度传输数据 故障切换电缆每端都有标签,一端标为”主要”,应该连接到主要单元.另一端则标为”辅助”连接到辅助单元.对备用单元的改变永远不会复制到活跃单元.第15页，共67页，2022年，5月20日，1点27分，星期一5.4.2 基于cable的工作方式 蓝狐网络技术培训学校PrimarySecurity ApplianceSecondarySecurity AppliancePrimaryLabeled ConnectorSecondar

9、yLabeled Connector基于Cable:专用的线缆，仅限于PIX,ASA没有；专用的Cable线能快速检测对等体电源失效；备份设备不用配置，不用占有以太接口；主备关系由电缆决定；Primary和Secondary；备份设备不需要任何配置，通电即可距离限制,Cable线只有6feet；拷贝速度慢，115kb/s；第16页，共67页，2022年，5月20日，1点27分，星期一故障恢复工作方式蓝狐网络技术培训学校基于cable的工作方式基于LAN的工作方式第17页，共67页，2022年，5月20日，1点27分，星期一 5.4.1 故障恢复链路类型基于LAN的故障恢复链路：Statful

10、failover线：蓝狐网络技术培训学校.使用以太网接口来做故障恢复，它应该使用一个专用交换机或放进 一 个专用VLAN,或使用一个交叉以太网电缆连接.优点是单元的物理距离可以大于6英尺，而且具有更快的传输复制速度， 缺点是收敛较慢；安全设备不能立即检测对方的功率损耗.时刻传递状态信息从主到次；如conn、xlate等信息；.接该线的接口必须大于等于用户数据接口的速率（inside、outside接口）；第18页，共67页，2022年，5月20日，1点27分，星期一5.4.3 基于LAN的工作方式 蓝狐网络技术培训学校Primary activeSecondary standbyE4E3int

11、ernet第19页，共67页，2022年，5月20日，1点27分，星期一5.4.3 基于LAN的工作方式基于LAN:使用以太网互联传递FO信息：配置信息等；为了FO线是活动的，需要在FW间加交换机；禁用交换机的DTP、Pagp等协议，手工配置access、portfast等；切换时，Failover线不交换IP、mac;距离不受限制；SW单点故障；如果没有距离限制的话，也可以直接用以太网交叉线将两个防火墙直连蓝狐网络技术培训学校第20页，共67页，2022年，5月20日，1点27分，星期一故障恢复技术特点蓝狐网络技术培训学校故障恢复设备要求故障恢复工作方式故障恢复工作模式故障恢复健康监测第21

12、页，共67页，2022年，5月20日，1点27分，星期一故障恢复工作模式蓝狐网络技术培训学校主备模式A/S负载均衡模式A/A第22页，共67页，2022年，5月20日，1点27分，星期一主备模式: Active/Standby 蓝狐网络技术培训学校Primary: ActiveInternetSecondary: StandbyFailover:Active/StandbyPrimary: FailedInternetSecondary: ActiveFailover:Active/Standby第23页，共67页，2022年，5月20日，1点27分，星期一主备模式A/S主备模式下的两台防火墙

13、，其中一台作为主设备，另一台作为备份设备。主设备处理所有业务，并将产生的会话信息传送到备份设备进行备份；备份设备不处理业务，只用做备份蓝狐网络技术培训学校第24页，共67页，2022年，5月20日，1点27分，星期一故障恢复工作模式蓝狐网络技术培训学校主备模式A/S负载均衡模式A/A第25页，共67页，2022年，5月20日，1点27分，星期一5.5.2 负载均衡模式: Active/Active 蓝狐网络技术培训学校12Internet21Secondary: Primary:Internet221ContextsActive/StandbyStandby/Active1Secondary:

14、 Primary:Failed/StandbyActive/Active第26页，共67页，2022年，5月20日，1点27分，星期一故障恢复技术特点蓝狐网络技术培训学校故障恢复设备要求故障恢复工作方式故障恢复工作模式故障恢复健康监测第27页，共67页，2022年，5月20日，1点27分，星期一5.6.1 故障恢复健康监测防火墙监控每一个安全单元的整体健康和端口健康，可以分为：单元健康监测 防火墙确定另外一个单元的健康是通过监测failover链路，当防火墙在failover链路上连续三个hello时间都没有收到对方的hello包时，它开始在单元所有端口发送ARP请求。包括failover端口

15、。防火墙依据从对等单元收到的回应执行相应的动作：蓝狐网络技术培训学校 单元健康监测； 端口健康监测；第28页，共67页，2022年，5月20日，1点27分，星期一5.6.1 单元健康监测如果防火墙在 failover端口上收到一个响应，那么不会发生故障切换如果防火墙没有在failover端口收到响应，但从其他端口收到响应，那么也不会发生故障切换。但failover 链路被标记为Failed。你应该尽快恢复failover链路。因为当failover链路出现故障时，并不会发生故障切换如果防火墙在任何端口均没有收到回应，那么备份单元切换到active模式，并标记其他单元为Failed 你可以调整h

16、ello消息的周期时间和hlodtime时间。更快的查询周期和更短的holdtime时间能加速检测单元故障。但也有可能在网络拥塞而导致hello包延迟时，产生假的故障消息蓝狐网络技术培训学校第29页，共67页，2022年，5月20日，1点27分，星期一5.6.2 端口健康监测当单元设备在监控端口超过一半的holdtime时间仍没有收到hello消息时，它运行下列的测试检测端口健康链路连接/关闭测试:这是用来测试网络端口自己本身的.如果一个端口网卡没有插入到网络,那么它被认为是有故障的.例如,HUB或者交换机出现故障,或者线缆没有被插入.如果这个测试没有发现任何问题,那么网络活动测试开始. 网络

17、活动测试:防火墙单元直到5秒钟时间内计算所有收到的分组.如果在此间隔中的任何时间内收到任何分组,接口被认为是在运行的.如果没有收到任何的流量,开始进行ARP测试.蓝狐网络技术培训学校第30页，共67页，2022年，5月20日，1点27分，星期一5.6.2 端口健康监测 ARP测试:ARP测试包括评估最近获得的10个防火墙单元的ARP缓存内的条目.防火墙发送ARP请求到缓存中条目对应的设备,以试图触发网络流量.在每以次请求之后,防火墙计算5秒时间内收到的流量,如果收到流量,端口被认为是运行的,如果没有收到任何流量,ARP请求被发送到下一个机器.如果到列表末尾还没有收到任何流量,那么PING测试开

18、始. PING测试:这个测试是由发送广播式PING请求组成的.然后防火墙单元在5秒中内计算所有接受到的分组.如果在次间隔内的任何时间接受到分组,接口被认为是在运行的.测试终止.如果没有接受到流量.那么端口被认为出现了故障蓝狐网络技术培训学校第31页，共67页，2022年，5月20日，1点27分，星期一5.6.2 端口健康监测主和备份防火墙在15秒间隔内(默认情况下),通过向所有网络端口发送出特定的failover hello包,以确定一切都在正常工作. 当一个故障出现,而故障并不是由断电所引起的时候.failover开始一系列的测试。这些测试的目的是,产生网络流量以用来测试是哪个防火墙出现故障

19、.在每一个测试开始之前,每一个防火墙都会清除端口所有收到的数据包.在每一个测试结束时,每一个防火墙查看是否有收到的任何流量.如果有,那么端口被认为是运行的.如果一个防火墙收到了测试的流量,而另外一个防火墙没有,那么没有收到测试流量的防火墙被认为出现了故障,如果都收到了流量那么测试继续.蓝狐网络技术培训学校第32页，共67页，2022年，5月20日，1点27分，星期一故障恢复蓝狐网络技术培训学校故障恢复产生背景故障恢复功能简介故障恢复技术特点故障恢复组网应用故障恢复详细配置第33页，共67页，2022年，5月20日，1点27分，星期一故障恢复详细配置蓝狐网络技术培训学校基于Cable故障恢复配置

20、基于LAN的故障恢复配置第34页，共67页，2022年，5月20日，1点27分，星期一串行线Active/Standby故障切换 蓝狐网络技术培训学校Primary: ActiveSecurity ApplianceInternetPrimary: FailedSecurity ApplianceInternetSecondary: ActiveSecurity ApplianceSecondary: StandbySecurity ApplianceFailoverSerialCableSerialCable第35页，共67页，2022年，5月20日，1点27分，星期一步骤一：连接备份防火墙

21、 蓝狐网络技术培训学校Internet.7SecondarySecurity Appliance.1.2.7PrimarySecurity Appliance第36页，共67页，2022年，5月20日，1点27分，星期一步骤二：连接Failover Cable 蓝狐网络技术培训学校PrimarySecurity ApplianceSecondarySecurity AppliancePrimaryLabeled Connector第37页，共67页，2022年，5月20日，1点27分，星期一步骤三：配置主防火墙 蓝狐网络技术培训学校Internet.7SecondarySecurity App

22、liance.1.2.7fw2(config)# failoverfw2(config)# interface ethernet0 standby fw2(config)# interface ethernet1fw2(config)# failover polltime unit 10Failovercable在主防火墙上开启failover 在主防火墙上配置active和standby ip地址(可选)配置failover,hello时间第38页，共67页，2022年，5月20日，1点27分，星期一show failover命令：备份防火墙Power off 蓝狐网络技术培训学校fw2#

23、show failoverFailover OnCable status: Other side not connectedFailover unit PrimaryFailover LAN Interface: N/A - Serial-based failover enabledUnit Poll frequency 15 seconds, holdtime 45 secondsInterface Poll frequency 15 secondsInterface Policy 1Monitored Interfaces 3 of 250 maximumLast Failover at:

24、 13:21:38 UTC Dec 10 2004 This host: Primary - Active Active time: 200 (sec) Interface outside (): Normal (Waiting) Interface inside (): Normal (Waiting) Interface dmz (): Normal (Waiting) Other host: Secondary Not detected Active time: 0 (sec) Interface outside (): Unknown (Waiting) Interface insid

25、e (): Unknown (Waiting) Interface dmz (): Unknown (Waiting)Stateful Failover Logical Update Statistics Link : Unconfigured第39页，共67页，2022年，5月20日，1点27分，星期一步骤四：备份防火墙加电 蓝狐网络技术培训学校复制主防火墙配置到辅助防火墙Internet.7SecondarySecurity Appliance.1.2.7Replication Detected an active mateBeginning configuration replicati

26、on to mate.End configuration replication to mate. Power On第40页，共67页，2022年，5月20日，1点27分，星期一show failover 蓝狐网络技术培训学校 Detected an active mateBeginning configuration replication to mate.End configuration replication to mate. fw2# show failoverFailover OnCable status: NormalFailover unit PrimaryFailover L

27、AN Interface: N/A - Serial-based failover enabledUnit Poll frequency 15 seconds, holdtime 45 secondsInterface Poll frequency 15 secondsInterface Policy 1Monitored Interfaces 3 of 250 maximumLast Failover at: 13:21:38 UTC Dec 10 2004 This host: Primary - Active Active time: 300 (sec) Interface outsid

28、e (): Normal Interface inside (): Normal Interface dmz (): Normal Other host: Secondary Standby Ready Active time: 0 (sec) Interface outside (): Normal Interface inside (): Normal Interface dmz (): NormalStateful Failover Logical Update Statistics Link : Unconfigured第41页，共67页，2022年，5月20日，1点27分，星期一强制

29、切换 蓝狐网络技术培训学校Primary: Standby Activefw1InternetSecondary: Active Standbyfw2fw2(config)# failover active强制将防火墙设备切换到active状态failover activefw1(config)#第42页，共67页，2022年，5月20日，1点27分，星期一故障恢复详细配置蓝狐网络技术培训学校基于Cable故障恢复配置基于LAN的故障恢复配置第43页，共67页，2022年，5月20日，1点27分，星期一5.7.2 基于LAN的故障恢复配置蓝狐网络技术培训学校主备模式A/S配置负载均衡模式A/A

30、配置第44页，共67页，2022年，5月20日，1点27分，星期一LAN-Based Failover 配置步骤 蓝狐网络技术培训学校Complete the following tasks to configure LAN-based failover:Install a LAN-based failover connection between primary and secondary security appliances.Configure the primary security appliance.Configure the primary security appliance

31、for stateful failover. Save the primary security appliance configuration to Flash memory.Power on the secondary security appliance.Configure the secondary security appliance with the minimum failover LAN command set.Save the secondary security appliance configuration to Flash memory.Connect the seco

32、ndary unit LAN failover interface to the network.Reboot the secondary security appliance.第45页，共67页，2022年，5月20日，1点27分，星期一以太网failover连线 蓝狐网络技术培训学校PrimarySecurity ApplianceInternete0SecondarySecurity Appliancee1e0e1e2e2LANFailover第46页，共67页，2022年，5月20日，1点27分，星期一Lan-based:配置主和辅助地址 蓝狐网络技术培训学校fw1(config)#

33、interface ethernet0fw1(config)# interface ethernet1fw1(config)# interface ethernet2Primaryfw1Internet.7SecondarySecurity Appliance..7第47页，共67页，2022年，5月20日，1点27分，星期一Lan-based:配置primary 蓝狐网络技术培训学校fw2(config)# interface ethernet3fw2(config-if)# no shut fw2(config)# failover lan interface LANFAIL

34、 ethernet3fw2(config)# failover interface ip LANFAIL standby fw2(config)# failover lan enable fw2(config)# failover lan unit primaryfw2(config)# failover key 1234567 fw2(config)# failoverPrimaryfw1Internet.7SecondarySecurity Appliance..7第48页，共67页，2022年，5月20日，1点27分，星期一状态型故障切换 蓝狐网络技术培训学校failove

35、r link if_name phy_iffwfirewall(config)#fw2(config)# failover link LANFAIL Specifies the name of the dedicated interface used for stateful failover. Primaryfw1Internet.2SecondarySecurity Appliance.1.1.2Statefulfailovere2e2第49页，共67页，2022年，5月20日，1点27分，星期一LAN Failover配置:Secondary 蓝狐网络技术培训学校Primaryfw1In

36、ternet.2Secondaryfw.1.7fw2(config)# interface ethernet3fw2(config-if)# no shut fw2(config)# failover lan interface LANFAIL ethernet3fw2(config)# failover interface ip LANFAIL standby fw2(config)# failover lan unit secondaryfw2(config)# failover lan key 1234567 fw2(config)# failover lan enable

37、fw2(config)# failover第50页，共67页，2022年，5月20日，1点27分，星期一主备复制 蓝狐网络技术培训学校Failover LAN became okaySwitchover enabledDetected an Active mateBeginning configuration replication sending to mate.End configuration replication to mate.fw2# sh fail history=From State To State Reason=Standby Ready Just Active Othe

38、r unit want me ActiveJust Active Active Drain Other unit want me ActiveActive Drain Active Applying Config Other unit want me ActiveActive Applying Config Active Config Applied Other unit want me ActiveActive Config Applied Active Other unit want me Active=Primaryfw1InternetSecondaryfw2第51页，共67页，202

39、2年，5月20日，1点27分，星期一show failover命令 蓝狐网络技术培训学校fw2(config)# sh failFailover OnCable status: N/A - LAN-based failover enabledFailover unit SecondaryFailover LAN Interface: lanfail Ethernet3 (up)Unit Poll frequency 15 seconds, holdtime 45 secondsInterface Poll frequency 15 secondsInterface Policy 1Monito

40、red Interfaces 3 of 250 maximumLast Failover at: 18:03:38 UTC Nov 12 2004 This host: Primary - active Active time: 375 (sec) Interface outside (): Normal (Waiting) Interface inside (): Normal (Waiting) Interface dmz (): Normal (Waiting) Other host: Secondary Standby Ready Active time: 3795 (sec) Int

41、erface outside (): Normal (Waiting) Interface inside (): Normal (Waiting) Interface dmz (): Normal (Waiting)第52页，共67页，2022年，5月20日，1点27分，星期一failover mac address 蓝狐网络技术培训学校failover mac address mif_name act_mac stn_mac fw1(config)#fw2(config)# failover mac address ethernt0 00a0.c989.e481 fw2(config)# f

42、ailover mac address ethernet1 00a0.c976.cde5 Enables you to configure a virtual MAC address for a security appliance failover pair. Primaryfw1Internet.Inside MAC address Act - 00a0.c976.cde5 Stby - Outside MAC addressStby -第53页，共67页，2022年，5月20日，1点27分，星期一基于LAN的故障恢复配置蓝狐网络技术培训学校主备模式A/S配置负载均衡模式A/

43、A配置第54页，共67页，2022年，5月20日，1点27分，星期一5.7.3 Active/Active Failover 蓝狐网络技术培训学校Active/active failover 需要使用 contexts. 例如上图, 每个防火墙均创建了2个context CTX1 CTX2通过如同配置, 每一个防火墙拥有一个active context 和 standby context. Active context 处理流量 Standby context 在对等体防火墙中.Active/Active FailoverInternet21CTX1-ActiveCTX2-StandbyCTX

44、1-StandbyCTX2-Activee0e3e1e4e2e0e3e1e4e212TrafficTrafficUnit B Active/StandbyUnit A Active/Standby第55页，共67页，2022年，5月20日，1点27分，星期一Active/Active Failover (Cont.) 蓝狐网络技术培训学校在Failed的情况下, 单元A检测到CTX1的outside接口e0出现故障 CTX1 被置为 failed 状态. 单元A拥有一个 failed 和 一个 standby context. 在单元B上, CTX1 变为 active. 单元B拥有两个 ac

45、tive contexts. 两个 active contexts 都处理流量.Failover can be context-based or unit-based.Internet2CTX1-ActiveCTX2-Activee0e3e1e4e212TrafficTrafficCTX2-Standbye3e4e2Unit B: Active/ActiveUnit A: Failed/StandbyCTX1-Failede1e01第56页，共67页，2022年，5月20日，1点27分，星期一配置failover连接 蓝狐网络技术培训学校fw2(config)# interface ether

46、net2fw2(config-if)# no shut fw2(config)# failover lan interface LANFAIL ethernet2fw2(config)# failover lan enable fw2(config)# failover link LANFAIL ethernet2fw2(config)# failover lan key 1234567CTX1-Group 1CTX2-Group 2e0e1CTX1-Group 1CTX2-Group 2e0e12112Failover Linke2e3e4e3e4e2第57页，共67页，2022年，5月20

47、日，1点27分，星期一Failover Group 蓝狐网络技术培训学校Active/active failover adds support for failover group. Failover is performed on a unit or group level.A group is comprised of one or more contexts.Each failover group contains separate state machines to keep track of the group failover state.fw2(config)# failover

48、 group 1fw2(config-fover-group)# primaryfw2(config)# failover group 2fw2(config-fover-group)# secondaryCTX1-Group 1CTX2-Group 2e0e1e2CTX1-Group 1CTX2-Group 2e0e1e22112Group 1e3e4e3e4PrimarySecondary第58页，共67页，2022年，5月20日，1点27分，星期一安全环境配置 蓝狐网络技术培训学校fw2(config)# context ctx1fw2(config-ctx)# allocate-int

49、erface ethernet0 fw2(config-ctx)# allocate-interface ethernet1fw2(config-ctx)# config-url flash:/ctx1.cfgfw2(config-ctx)# join-failover-group 1 fw2(config)# context ctx2fw2(config-ctx)# allocate-interface ethernet3 fw2(config-ctx)# allocate-interface ethernet4fw2(config-ctx)# config-url flash:/ctx2.

50、cfgfw2(config-ctx)# join-failover-group 2 Internet21CTX1-Group 1CTX2-Group 2e0e1CTX1-Group 1CTX2-Group 2e0e112e3e4e3e4Associate interfaces and a group to a context第59页，共67页，2022年，5月20日，1点27分，星期一安全环境配置:配置端口 蓝狐网络技术培训学校fw2(config)# changeto context ctx1fw2/ctx1(config)# interface ethernet0fw2/ctx1(conf

51、ig-if)# ip address standby fw2/ctx1(config-if)# nameif outsidefw2/ctx1(config-if)# exitfw2/ctx1(config)# interface ethernet1fw2/ctx1(config-if)# ip address standby fw2/ctx1(config-if)# nameif insidefw2/ctx1(config-if)# exitContext 1 Interface e0 Interface e1Context 2 Interface e3 Interface e4CTX1-Gr

52、oup 1ActiveCTX2-Group 2StandbyInternet21e0e3e1e4e2第60页，共67页，2022年，5月20日，1点27分，星期一Show failover :part 1 蓝狐网络技术培训学校fx2# show failoverFailover OnCable status: N/A - LAN-based failover enabledFailover unit PrimaryFailover LAN Interface: lanfail Ethernet2 (up)Unit Poll frequency 15 seconds, holdtime 45 s

53、econdsInterface Poll frequency 15 secondsInterface Policy 1Monitored Interfaces 4 of 250 maximumGroup 1 last failover at: 15:54:49 UTC Dec 14 2004Group 2 last failover at: 15:55:00 UTC Dec 14 2004Internet21CTX1-Group 1ActiveCTX2-Group 2Standbye0e1e2CTX1-Group 1StandbyCTX2-Group 2Activee0e1e212Primarye3e4e3e4第61页，共67页，2022年，5月20日，1点27分，星期一Show Failover: Part 2 蓝狐网络技术培训学校fx2# show failover.This host: Pr