收藏
下载资源

防火墙故障切换

上传人:博****1 文档编号:508520794 上传时间:2023-03-07 格式:DOC 页数:8 大小:91KB
返回 下载 相关 举报
防火墙故障切换_第1页
第1页 / 共8页
防火墙故障切换_第2页
第2页 / 共8页
防火墙故障切换_第3页
第3页 / 共8页
防火墙故障切换_第4页
第4页 / 共8页
防火墙故障切换_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《防火墙故障切换》由会员分享,可在线阅读,更多相关《防火墙故障切换(8页珍藏版)》请在金锄头文库上搜索。

1、防火墙故障切换一、 实验拓扑Fa0/0Fa0/3Fa0/1Fa0/0二、 知识了解l 第一个:Failover线,又叫心跳线,是一条故障切换线;参与failover的防火墙通过这条线决定本身的状态,即选举主备或在主设备发生故障时,次设备成为主设备继续提供安全服务;可以是一条专用Cable或LAN线;传递配置信息和检测信息,以及状态信息。l 第二个;Statful failover线,又叫状态线;时刻传递状态信息从主到次;接该线的接口必须大于等于用户数据接口的速率(inside、outside接口);可以使用一个专用以太接口或共享LAN-base的Failover线,也可以共享用户但不建议。l

2、第三个;Failover组网拓扑(方式):基于Cable、基于LAN; 基于Cable:专用线缆,仅限于PIX,ASA不支持;专用的Cable线能快速检测对等体电源失效;备份设备不用配置,不占有以太接口;防火墙内外口、DMZ区各占用一个子网;主备关系由电缆决定;Primary和Secondary;限制,Cable线只有6Feet;拷贝速度慢,115Kb/s; 基于LAN:使用以太网互联传递Failover信息;配置信息等;为了Failover线是活动的,需要在防火墙间加交换机;禁用交换机的DTP、PAGP等协议,手工配置access、portfast等;切换时,Failover线不交换IP、M

3、AC;距离不受限制;但是交换机容易单点故障;第四个:Failover 工作模式 :A/S主备、A/A负载均衡;强制切换为主Failover active A/S主备特点: 一台设备为主,另外一台为备份;同时只有一台防火墙处理用户数据;主设备发生故障时,次设备成为主设备并接管原主设备的所有接口Ip地址和MAC地址;对于用户来说,整个切换是透明的。 A/A负载均衡:两台防火墙同时都处理用户数据,把每台防火墙划分为两个虚拟防火墙,分别挑选出一个Context组成failover 组,共两组;每个组挑出一个Active防火墙,Active设备,Active设备分别属于不同物理防火墙;standby设备

4、成为Active 设备时接管原active设备的接口IP地址和MAC地址;对于用户来说,整个切换过程是透明的。第五个:故障切换分类: 正常切换(Regular Failover):发生切换的时候,全部的连接会话将被丢弃客户端需要重新建立连接。即业务会中断。 状态切换(Stateful Failover):启用状态切换,active 设备时刻同步状态给standby设备,发生切换时,业务不会中断,客户端不需要重新建立连接。三、 实验目的四、 实验配置基本配置:R1(config-if)#interface fa0/0R1(config-if)#ip address 200.200.200.2 2

5、55.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR2(config)#interface fa0/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exitR2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1SW3(config)#interface fa0/1SW3(config-if)#switchport mode access SW3(config-if)

6、#switchport access vlan 20SW3(config)#interface fa0/7SW3(config-if)#switchport mode access SW3(config-if)#switchport access vlan 20SW3(config-if)#exitSW3(config)#interface fa0/3SW3(config-if)#switchport mode access SW3(config-if)#switchport access vlan 10SW3(config-if)#exitSW3(config)#interface fa0/

7、8SW3(config-if)#switchport mode access SW3(config-if)#switchport access vlan 10SW3(config-if)#exitSW3(config)#interface fa0/24SW3(config-if)#switchport mode trunkSW3(config-if)#switchport trunk allowed vlan allSW11(config)#interface fa0/24SW11(config-if)#switchport mode trunkSW11(config-if)#switchpo

8、rt trunk allowed vlan allSW11(config)#interface fa0/7SW11(config-if)#switchport mode access SW11(config-if)#switchport access vlan 10SW11(config)#interface fa0/8SW11(config-if)#switchport mode access SW11(config-if)#switchport access vlan 20接口的配置不一样配置LAN 的A/S模式:第一步:连接cable电缆:不要加电从设备第二步:加电主设备并配置:接口命名

9、、IP地址、安全级别等FW4(config)# interface ethernet 0FW4(config-if)# nameif outsideINFO: Security level for outside set to 0 by default.FW4(config-if)# security-level 0FW4(config-if)# ip address 200.200.200.1 255.255.255.0 standby 200.200.200.254FW4(config-if)# no shutdownFW4(config)# interface e1FW4(config-

10、if)# nameif insideINFO: Security level for inside set to 100 by default.FW4(config-if)# security-level 100FW4(config-if)# ip address 192.168.1.1 255.255.255.0 standby 192.168.1.254FW4(config-if)# no shutdown做动态PAT 内网访问外网pixfirewall(config)# nat (inside) 1 192.168.1.0 255.255.255.0pixfirewall(config)

11、# global (outside) 1 interface pixfirewall# show xlate 1 in use, 1 most usedPAT Global 200.200.200.1(1) Local 192.168.1.2 ICMP id 4第三步 主备设备都要启动 FaioverFW4(config)# FaioverFW12(config)# Faiover没有切换之前FW4# show int ip brInterface IP-Address OK? Method Status ProtocolEthernet0 200.200.200.1 YES manual u

12、p up Ethernet1 192.168.1.1 YES manual up up Ethernet2 unassigned YES unset administratively down up FW4(config)# FW4(config)# show modeSecurity context mode: single FW4(config)# show firFirewall mode: RouterFW4(config)# Beginning configuration replication: Sending to mate.End Configuration Replicati

13、on to mateFW4(config)# show failover state State Last Failure Reason Date/TimeThis host - PrimaryActive NoneOther host - SecondaryStandby Ready Comm Failure 02:06:31 UTC Jan 1 1993=Configuration State= Sync Done=Communication State= Mac setFW4(config)# show int ip brInterface IP-Address OK? Method S

14、tatus ProtocolEthernet0 200.200.200.254 YES CONFIG up up Ethernet1 192.168.1.254 YES CONFIG up up Ethernet2 unassigned YES unset administratively down up FW4(config)# show failover stateState Last Failure Reason Date/TimeThis host - SecondaryStandby Ready NoneOther host - PrimaryActive None=Configuration State= Sync Done - STANDBY=Communication State= Mac set第四步 切换之后,会有提示FW4# Switching to Standby原本是FW12 FW4# Switching to Active备份防火墙会和主防火墙的配置一样,原来主防火墙的配

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 建筑资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号