版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
第五課故障切換第一頁,共六十七頁,編輯于2023年,星期四第五章:故障恢復(fù)藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校故障恢復(fù)產(chǎn)生背景故障恢復(fù)功能簡介故障恢復(fù)技術(shù)特點故障恢復(fù)組網(wǎng)應(yīng)用故障恢復(fù)詳細(xì)配置第二頁,共六十七頁,編輯于2023年,星期四5.1故障恢復(fù)產(chǎn)生背景在當(dāng)今網(wǎng)絡(luò)中,用戶對一些重要業(yè)務(wù)入口或接入點的可靠性要求越來越高,如何保證網(wǎng)絡(luò)避免單點故障,保證網(wǎng)絡(luò)的不間斷傳輸,成為網(wǎng)絡(luò)急需解決的一個問題藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校第三頁,共六十七頁,編輯于2023年,星期四5.1故障恢復(fù)產(chǎn)生背景傳統(tǒng)備份組網(wǎng)方案適用于接入點是路由器等轉(zhuǎn)發(fā)設(shè)備的情況。因為經(jīng)過設(shè)備的每個報文都是查找轉(zhuǎn)發(fā)表進(jìn)行轉(zhuǎn)發(fā),鏈路切換后,后續(xù)報文的轉(zhuǎn)發(fā)不受影響。但是當(dāng)接入點是狀態(tài)防火墻等設(shè)備時,由于狀態(tài)防火墻是基于連接狀態(tài)的,當(dāng)用戶發(fā)起會話時,狀態(tài)防火墻只會對會話的首包進(jìn)行檢查,如果首包允許通過則會建立一個會話表項(表項里包括源IP、源端口、目的IP、目的端口等信息),只有匹配該會話表項的后續(xù)報文(包括返回報文)才能夠通過防火墻。如果鏈路切換后,后續(xù)報文找不到正確的表項,會導(dǎo)致當(dāng)前業(yè)務(wù)中斷。藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校第四頁,共六十七頁,編輯于2023年,星期四故障恢復(fù)藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校故障恢復(fù)產(chǎn)生背景故障恢復(fù)功能簡介故障恢復(fù)技術(shù)特點故障恢復(fù)組網(wǎng)應(yīng)用故障恢復(fù)詳細(xì)配置第五頁,共六十七頁,編輯于2023年,星期四藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校Primary:Active
SecurityApplianceInternetSecondary:Standby
SecurityApplianceSerialCable
failover功能簡介安全設(shè)備支持兩種故障恢復(fù)類型:常規(guī)故障恢復(fù)和狀態(tài)故障恢復(fù)HardwarefailoverStatefulfailover第六頁,共六十七頁,編輯于2023年,星期四5.2故障恢復(fù)簡介安全設(shè)備支持兩種故障恢復(fù)類型:常規(guī)故障恢復(fù)和狀態(tài)故障恢復(fù)Hardwarefailover連接都被丟棄.客戶端應(yīng)用程序必須重新連接提供硬件冗余提供serial-based或者LAN-basedfailoverStatefulfailoverTCP連接保持活躍狀態(tài)客戶端應(yīng)用程序不需要重新連接.提供冗余和狀態(tài)連接通過statefullink.提供藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校第七頁,共六十七頁,編輯于2023年,星期四5.2故障恢復(fù)簡介狀態(tài)鏈路接口用于傳遞從主動單元到備用單元所有已經(jīng)建立連接的狀態(tài)。在每一個狀態(tài)故障恢復(fù)設(shè)置中,傳遞到備用單元的信息包含如下內(nèi)容藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校NAT的轉(zhuǎn)換表TCP連接UDP的連接狀態(tài)ARP條目在透明防火墻模式運(yùn)行下的第2層橋接表HTTP鏈路狀態(tài)(如啟用HTTP復(fù)制)Internet安全關(guān)聯(lián)和密鑰管理協(xié)議(ISAKMP)IPSEC的SA服務(wù)表第八頁,共六十七頁,編輯于2023年,星期四故障恢復(fù)藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校故障恢復(fù)產(chǎn)生背景故障恢復(fù)功能簡介故障恢復(fù)技術(shù)特點故障恢復(fù)組網(wǎng)應(yīng)用故障恢復(fù)詳細(xì)配置第九頁,共六十七頁,編輯于2023年,星期四故障恢復(fù)技術(shù)特點藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校故障恢復(fù)設(shè)備要求故障恢復(fù)工作方式故障恢復(fù)工作模式故障恢復(fù)健康監(jiān)測第十頁,共六十七頁,編輯于2023年,星期四5.3故障恢復(fù)設(shè)備要求故障恢復(fù)對其中的兩個安全設(shè)備必須完全相同,并且通過專用故障恢復(fù)鏈路(接口)連接。若啟用安全設(shè)備上的故障恢復(fù)特性,則設(shè)備需要滿足下列條件:藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校具有相同數(shù)量的模塊和硬件配置;具有相同的接口號和類型;具有相同的內(nèi)存容量和RAM容量;處于相同的操作模式(路由或透明,單一或多環(huán)境);具有相同的軟件版本;(主、次版本必須一致)具有相同的特性:(DES或3DES);合適的licensing第十一頁,共六十七頁,編輯于2023年,星期四故障恢復(fù)技術(shù)特點藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校故障恢復(fù)設(shè)備要求故障恢復(fù)工作方式故障恢復(fù)工作模式故障恢復(fù)健康監(jiān)測第十二頁,共六十七頁,編輯于2023年,星期四故障恢復(fù)工作方式藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)?;赾able的工作方式基于LAN的工作方式第十三頁,共六十七頁,編輯于2023年,星期四5.4故障恢復(fù)鏈路類型
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校Cable-BasedSecondarySecurityAppliancePrimarySecurityAppliance/24.1e0e0/24e1e1.11InternetCable-BasedLAN-Basede2e2LAN-Basede3e3StatefulLinkStateful第十四頁,共六十七頁,編輯于2023年,星期四5.4.1故障恢復(fù)鏈路類型串行電纜的故障恢復(fù)鏈路(僅PIX500系列支持):藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校
此電纜是一個專用串行電纜,能提供較快的收斂。安全設(shè)備可以感知對等體單元的功率損耗。
故障切換中的兩個單元通過故障切換電纜連通.故障切換電纜是一個改良長6英尺的RS-232系列鏈路電纜,以115kbit/s的速度傳輸數(shù)據(jù)
故障切換電纜每端都有標(biāo)簽,一端標(biāo)為”主要”,應(yīng)該連接到主要單元.另一端則標(biāo)為”輔助”連接到輔助單元.對備用單元的改變永遠(yuǎn)不會復(fù)制到活躍單元.第十五頁,共六十七頁,編輯于2023年,星期四5.4.2基于cable的工作方式
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校Primary
SecurityApplianceSecondary
SecurityAppliancePrimaryLabeledConnectorSecondaryLabeledConnector基于Cable:專用的線纜,僅限于PIX,ASA沒有;專用的Cable線能快速檢測對等體電源失效;備份設(shè)備不用配置,不用占有以太接口;主備關(guān)系由電纜決定;Primary和Secondary;備份設(shè)備不需要任何配置,通電即可距離限制,Cable線只有6feet;拷貝速度慢,115kb/s;第十六頁,共六十七頁,編輯于2023年,星期四故障恢復(fù)工作方式藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校基于cable的工作方式基于LAN的工作方式第十七頁,共六十七頁,編輯于2023年,星期四5.4.1故障恢復(fù)鏈路類型基于LAN的故障恢復(fù)鏈路:Statfulfailover線:藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校.使用以太網(wǎng)接口來做故障恢復(fù),它應(yīng)該使用一個專用交換機(jī)或放進(jìn)一個專用VLAN,或使用一個交叉以太網(wǎng)電纜連接.優(yōu)點是單元的物理距離可以大于6英尺,而且具有更快的傳輸復(fù)制速度,缺點是收斂較慢;安全設(shè)備不能立即檢測對方的功率損耗.時刻傳遞狀態(tài)信息從主到次;如conn、xlate等信息;.接該線的接口必須大于等于用戶數(shù)據(jù)接口的速率(inside、outside接口);第十八頁,共六十七頁,編輯于2023年,星期四5.4.3基于LAN的工作方式
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校PrimaryactiveSecondary
standbyE4E3internet第十九頁,共六十七頁,編輯于2023年,星期四5.4.3基于LAN的工作方式基于LAN:使用以太網(wǎng)互聯(lián)傳遞FO信息:配置信息等;為了FO線是活動的,需要在FW間加交換機(jī);禁用交換機(jī)的DTP、Pagp等協(xié)議,手工配置access、portfast等;切換時,F(xiàn)ailover線不交換IP、mac;距離不受限制;SW單點故障;如果沒有距離限制的話,也可以直接用以太網(wǎng)交叉線將兩個防火墻直連藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校第二十頁,共六十七頁,編輯于2023年,星期四故障恢復(fù)技術(shù)特點藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校故障恢復(fù)設(shè)備要求故障恢復(fù)工作方式故障恢復(fù)工作模式故障恢復(fù)健康監(jiān)測第二十一頁,共六十七頁,編輯于2023年,星期四故障恢復(fù)工作模式藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校主備模式A/S負(fù)載均衡模式A/A第二十二頁,共六十七頁,編輯于2023年,星期四5.5.1主備模式:Active/Standby
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校Primary:ActiveInternetSecondary:StandbyFailover:Active/StandbyPrimary:FailedInternetSecondary:ActiveFailover:Active/Standby第二十三頁,共六十七頁,編輯于2023年,星期四主備模式A/S主備模式下的兩臺防火墻,其中一臺作為主設(shè)備,另一臺作為備份設(shè)備。主設(shè)備處理所有業(yè)務(wù),并將產(chǎn)生的會話信息傳送到備份設(shè)備進(jìn)行備份;備份設(shè)備不處理業(yè)務(wù),只用做備份藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校第二十四頁,共六十七頁,編輯于2023年,星期四故障恢復(fù)工作模式藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校主備模式A/S負(fù)載均衡模式A/A第二十五頁,共六十七頁,編輯于2023年,星期四5.5.2負(fù)載均衡模式:Active/Active
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校12Internet21Secondary:Primary:Internet221ContextsActive/StandbyStandby/Active1Secondary:Primary:Failed/StandbyActive/Active第二十六頁,共六十七頁,編輯于2023年,星期四故障恢復(fù)技術(shù)特點藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校故障恢復(fù)設(shè)備要求故障恢復(fù)工作方式故障恢復(fù)工作模式故障恢復(fù)健康監(jiān)測第二十七頁,共六十七頁,編輯于2023年,星期四5.6.1故障恢復(fù)健康監(jiān)測防火墻監(jiān)控每一個安全單元的整體健康和端口健康,可以分為:單元健康監(jiān)測防火墻確定另外一個單元的健康是通過監(jiān)測failover鏈路,當(dāng)防火墻在failover鏈路上連續(xù)三個hello時間都沒有收到對方的hello包時,它開始在單元所有端口發(fā)送ARP請求。包括failover端口。防火墻依據(jù)從對等單元收到的回應(yīng)執(zhí)行相應(yīng)的動作:藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校
單元健康監(jiān)測;端口健康監(jiān)測;第二十八頁,共六十七頁,編輯于2023年,星期四5.6.1單元健康監(jiān)測如果防火墻在failover端口上收到一個響應(yīng),那么不會發(fā)生故障切換如果防火墻沒有在failover端口收到響應(yīng),但從其他端口收到響應(yīng),那么也不會發(fā)生故障切換。但failover鏈路被標(biāo)記為Failed。你應(yīng)該盡快恢復(fù)failover鏈路。因為當(dāng)failover鏈路出現(xiàn)故障時,并不會發(fā)生故障切換如果防火墻在任何端口均沒有收到回應(yīng),那么備份單元切換到active模式,并標(biāo)記其他單元為Failed
你可以調(diào)整hello消息的周期時間和hlodtime時間。更快的查詢周期和更短的holdtime時間能加速檢測單元故障。但也有可能在網(wǎng)絡(luò)擁塞而導(dǎo)致hello包延遲時,產(chǎn)生假的故障消息藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校第二十九頁,共六十七頁,編輯于2023年,星期四5.6.2端口健康監(jiān)測當(dāng)單元設(shè)備在監(jiān)控端口超過一半的holdtime時間仍沒有收到hello消息時,它運(yùn)行下列的測試檢測端口健康鏈路連接/關(guān)閉測試:這是用來測試網(wǎng)絡(luò)端口自己本身的.如果一個端口網(wǎng)卡沒有插入到網(wǎng)絡(luò),那么它被認(rèn)為是有故障的.例如,HUB或者交換機(jī)出現(xiàn)故障,或者線纜沒有被插入.如果這個測試沒有發(fā)現(xiàn)任何問題,那么網(wǎng)絡(luò)活動測試開始.
網(wǎng)絡(luò)活動測試:防火墻單元直到5秒鐘時間內(nèi)計算所有收到的分組.如果在此間隔中的任何時間內(nèi)收到任何分組,接口被認(rèn)為是在運(yùn)行的.如果沒有收到任何的流量,開始進(jìn)行ARP測試.藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校第三十頁,共六十七頁,編輯于2023年,星期四5.6.2端口健康監(jiān)測
ARP測試:ARP測試包括評估最近獲得的10個防火墻單元的ARP緩存內(nèi)的條目.防火墻發(fā)送ARP請求到緩存中條目對應(yīng)的設(shè)備,以試圖觸發(fā)網(wǎng)絡(luò)流量.在每以次請求之后,防火墻計算5秒時間內(nèi)收到的流量,如果收到流量,端口被認(rèn)為是運(yùn)行的,如果沒有收到任何流量,ARP請求被發(fā)送到下一個機(jī)器.如果到列表末尾還沒有收到任何流量,那么PING測試開始.
PING測試:這個測試是由發(fā)送廣播式PING請求組成的.然后防火墻單元在5秒中內(nèi)計算所有接受到的分組.如果在次間隔內(nèi)的任何時間接受到分組,接口被認(rèn)為是在運(yùn)行的.測試終止.如果沒有接受到流量.那么端口被認(rèn)為出現(xiàn)了故障藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校第三十一頁,共六十七頁,編輯于2023年,星期四5.6.2端口健康監(jiān)測主和備份防火墻在15秒間隔內(nèi)(默認(rèn)情況下),通過向所有網(wǎng)絡(luò)端口發(fā)送出特定的failoverhello包,以確定一切都在正常工作.
當(dāng)一個故障出現(xiàn),而故障并不是由斷電所引起的時候.failover開始一系列的測試。這些測試的目的是,產(chǎn)生網(wǎng)絡(luò)流量以用來測試是哪個防火墻出現(xiàn)故障.在每一個測試開始之前,每一個防火墻都會清除端口所有收到的數(shù)據(jù)包.在每一個測試結(jié)束時,每一個防火墻查看是否有收到的任何流量.如果有,那么端口被認(rèn)為是運(yùn)行的.如果一個防火墻收到了測試的流量,而另外一個防火墻沒有,那么沒有收到測試流量的防火墻被認(rèn)為出現(xiàn)了故障,如果都收到了流量`那么測試?yán)^續(xù).藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校第三十二頁,共六十七頁,編輯于2023年,星期四故障恢復(fù)藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校故障恢復(fù)產(chǎn)生背景故障恢復(fù)功能簡介故障恢復(fù)技術(shù)特點故障恢復(fù)組網(wǎng)應(yīng)用故障恢復(fù)詳細(xì)配置第三十三頁,共六十七頁,編輯于2023年,星期四故障恢復(fù)詳細(xì)配置藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校基于Cable故障恢復(fù)配置基于LAN的故障恢復(fù)配置第三十四頁,共六十七頁,編輯于2023年,星期四5.7.1串行線Active/Standby故障切換
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校Primary:Active
SecurityApplianceInternetPrimary:Failed
SecurityApplianceInternetSecondary:Active
SecurityApplianceSecondary:Standby
SecurityApplianceFailoverSerialCableSerialCable第三十五頁,共六十七頁,編輯于2023年,星期四步驟一:連接備份防火墻
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校Internet.7Secondary
SecurityAppliance.1.2.7Primary
SecurityAppliance第三十六頁,共六十七頁,編輯于2023年,星期四步驟二:連接FailoverCable
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校Primary
SecurityApplianceSecondary
SecurityAppliancePrimaryLabeledConnector第三十七頁,共六十七頁,編輯于2023年,星期四步驟三:配置主防火墻
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校Internet.7Secondary
SecurityAppliance.1.2.7fw2(config)#failoverfw2(config)#interfaceethernet0fw2(config-if)#ipaddressstandbyfw2(config)#interfaceethernet1fw2(config-if)#ipaddressstandbyfw2(config)#failoverpolltimeunit10Failovercable在主防火墻上開啟failover在主防火墻上配置active和standbyip地址(可選)配置failover,hello時間第三十八頁,共六十七頁,編輯于2023年,星期四showfailover命令:備份防火墻Poweroff
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校fw2#showfailoverFailoverOnCablestatus:OthersidenotconnectedFailoverunitPrimaryFailoverLANInterface:N/A-Serial-basedfailoverenabledUnitPollfrequency15seconds,holdtime45secondsInterfacePollfrequency15secondsInterfacePolicy1MonitoredInterfaces3of250maximumLastFailoverat:13:21:38UTCDec102004Thishost:Primary-ActiveActivetime:200(sec)Interfaceoutside():Normal(Waiting)Interfaceinside():Normal(Waiting)Interfacedmz():Normal(Waiting)Otherhost:Secondary–NotdetectedActivetime:0(sec)Interfaceoutside():Unknown(Waiting)Interfaceinside():Unknown(Waiting)Interfacedmz():Unknown(Waiting)StatefulFailoverLogicalUpdateStatisticsLink:Unconfigured第三十九頁,共六十七頁,編輯于2023年,星期四步驟四:備份防火墻加電
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校復(fù)制主防火墻配置到輔助防火墻Internet.7Secondary
SecurityAppliance.1.2.7ReplicationDetectedanactivemateBeginningconfigurationreplicationtomate.Endconfigurationreplicationtomate.PowerOn第四十頁,共六十七頁,編輯于2023年,星期四showfailover
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校DetectedanactivemateBeginningconfigurationreplicationtomate.Endconfigurationreplicationtomate.fw2#showfailoverFailoverOnCablestatus:NormalFailoverunitPrimaryFailoverLANInterface:N/A-Serial-basedfailoverenabledUnitPollfrequency15seconds,holdtime45secondsInterfacePollfrequency15secondsInterfacePolicy1MonitoredInterfaces3of250maximumLastFailoverat:13:21:38UTCDec102004Thishost:Primary-ActiveActivetime:300(sec)Interfaceoutside():NormalInterfaceinside():NormalInterfacedmz():NormalOtherhost:Secondary–StandbyReadyActivetime:0(sec)Interfaceoutside():NormalInterfaceinside():NormalInterfacedmz():NormalStatefulFailoverLogicalUpdateStatisticsLink:Unconfigured第四十一頁,共六十七頁,編輯于2023年,星期四強(qiáng)制切換
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校Primary:StandbyActive
fw1InternetSecondary:ActiveStandby
fw2fw2(config)#failoveractive強(qiáng)制將防火墻設(shè)備切換到active狀態(tài)failoveractivefw1(config)#第四十二頁,共六十七頁,編輯于2023年,星期四故障恢復(fù)詳細(xì)配置藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)?;贑able故障恢復(fù)配置基于LAN的故障恢復(fù)配置第四十三頁,共六十七頁,編輯于2023年,星期四5.7.2基于LAN的故障恢復(fù)配置藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校主備模式A/S配置負(fù)載均衡模式A/A配置第四十四頁,共六十七頁,編輯于2023年,星期四LAN-BasedFailover配置步驟
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校CompletethefollowingtaskstoconfigureLAN-basedfailover:InstallaLAN-basedfailoverconnectionbetweenprimaryandsecondarysecurityappliances.Configuretheprimarysecurityappliance.Configuretheprimarysecurityapplianceforstatefulfailover.SavetheprimarysecurityapplianceconfigurationtoFlashmemory.Poweronthesecondarysecurityappliance.ConfigurethesecondarysecurityappliancewiththeminimumfailoverLANcommandset.SavethesecondarysecurityapplianceconfigurationtoFlashmemory.ConnectthesecondaryunitLANfailoverinterfacetothenetwork.Rebootthesecondarysecurityappliance.第四十五頁,共六十七頁,編輯于2023年,星期四以太網(wǎng)failover連線
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校Primary
SecurityApplianceInternete0Secondary
SecurityAppliancee1e0e1e2e2LANFailover第四十六頁,共六十七頁,編輯于2023年,星期四Lan-based:配置主和輔助地址
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校fw1(config)#interfaceethernet0fw1(config-if)#ipaddressstandbyfw1(config)#interfaceethernet1fw1(config-if)#ipaddressstandbyfw1(config)#interfaceethernet2fw1(config-if)#ipaddressstandbyPrimary
fw1Internet.7Secondary
SecurityAppliance.1.2.7.1.7第四十七頁,共六十七頁,編輯于2023年,星期四Lan-based:配置primary
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校fw2(config)#interfaceethernet3fw2(config-if)#noshutfw2(config)#failoverlaninterfaceLANFAILethernet3fw2(config)#failoverinterfaceipLANFAILstandby
fw2(config)#failoverlanenablefw2(config)#failoverlanunitprimaryfw2(config)#failoverkey1234567fw2(config)#failoverPrimary
fw1Internet.7Secondary
SecurityAppliance.1.2.7.1.7第四十八頁,共六十七頁,編輯于2023年,星期四狀態(tài)型故障切換
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校failoverlinkif_name[phy_if]fwfirewall(config)#fw2(config)#failoverlinkLANFAILSpecifiesthenameofthededicatedinterfaceusedforstatefulfailover.Primary
fw1Internet.2Secondary
SecurityAppliance.1.1.2Statefulfailovere2e2第四十九頁,共六十七頁,編輯于2023年,星期四LANFailover配置:Secondary
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校Primary
fw1Internet.2Secondary
fw2.1.1.2.1.7fw2(config)#interfaceethernet3fw2(config-if)#noshutfw2(config)#failoverlaninterfaceLANFAILethernet3fw2(config)#failoverinterfaceipLANFAILstandby
fw2(config)#failoverlanunitsecondaryfw2(config)#failoverlankey1234567fw2(config)#failoverlanenablefw2(config)#failover第五十頁,共六十七頁,編輯于2023年,星期四主備復(fù)制
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校FailoverLANbecameokaySwitchoverenabledDetectedanActivemateBeginningconfigurationreplicationsendingtomate.Endconfigurationreplicationtomate.fw2#shfailhistory==========================================================================FromStateToStateReason==========================================================================StandbyReady JustActive OtherunitwantmeActiveJustActive ActiveDrain OtherunitwantmeActiveActiveDrain ActiveApplyingConfig OtherunitwantmeActiveActiveApplyingConfig ActiveConfigApplied OtherunitwantmeActiveActiveConfigApplied Active OtherunitwantmeActive==========================================================================Primary
fw1InternetSecondary
fw2第五十一頁,共六十七頁,編輯于2023年,星期四showfailover命令
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校fw2(config)#shfailFailoverOnCablestatus:N/A-LAN-basedfailoverenabledFailoverunitSecondaryFailoverLANInterface:lanfailEthernet3(up)UnitPollfrequency15seconds,holdtime45secondsInterfacePollfrequency15secondsInterfacePolicy1MonitoredInterfaces3of250maximumLastFailoverat:18:03:38UTCNov122004Thishost:Primary-activeActivetime:375(sec)Interfaceoutside():Normal(Waiting)Interfaceinside():Normal(Waiting)Interfacedmz():Normal(Waiting)Otherhost:Secondary–StandbyReadyActivetime:3795(sec)Interfaceoutside():Normal(Waiting)Interfaceinside():Normal(Waiting)Interfacedmz():Normal(Waiting)第五十二頁,共六十七頁,編輯于2023年,星期四failovermacaddress
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校failover
macaddressmif_nameact_macstn_macfw1(config)#fw2(config)#failovermacaddressethernt000a0.c989.e48100a0.c969.c7f1fw2(config)#failovermacaddressethernet100a0.c976.cde500a0.c922.9176EnablesyoutoconfigureavirtualMACaddressforasecurityappliancefailoverpair.Primary
fw1Internet.2.1.1.2InsideMACaddressAct-00a0.c976.cde5Stby-00a0.c922.9176OutsideMACaddressAct-00a0.c989.e481Stby-00a0.c969.c7f1第五十三頁,共六十七頁,編輯于2023年,星期四基于LAN的故障恢復(fù)配置藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校主備模式A/S配置負(fù)載均衡模式A/A配置第五十四頁,共六十七頁,編輯于2023年,星期四5.7.3Active/ActiveFailover
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校Active/activefailover需要使用contexts.例如上圖,每個防火墻均創(chuàng)建了2個contextCTX1CTX2通過如同配置,每一個防火墻擁有一個activecontext和standbycontext.Activecontext處理流量
Standbycontext在對等體防火墻中.Active/ActiveFailoverInternet21CTX1-ActiveCTX2-StandbyCTX1-StandbyCTX2-Activee0e3e1e4e2e0e3e1e4e212TrafficTrafficUnitBActive/StandbyUnitAActive/Standby第五十五頁,共六十七頁,編輯于2023年,星期四Active/ActiveFailover(Cont.)
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校在Failed的情況下,單元A檢測到CTX1的outside接口e0出現(xiàn)故障
CTX1被置為failed狀態(tài).
單元A擁有一個failed和一個standbycontext.
在單元B上,CTX1變?yōu)閍ctive.
單元B擁有兩個activecontexts.
兩個activecontexts都處理流量.Failovercanbecontext-basedorunit-based.Internet2CTX1-ActiveCTX2-Activee0e3e1e4e212TrafficTrafficCTX2-Standbye3e4e2UnitB:Active/ActiveUnitA:Failed/StandbyCTX1-Failede1e01第五十六頁,共六十七頁,編輯于2023年,星期四配置failover連接
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校fw2(config)#interfaceethernet2fw2(config-if)#noshutfw2(config)#failoverlaninterfaceLANFAILethernet2fw2(config)#failoverinterfaceipLANFAILstandbyfw2(config)#failoverlanenablefw2(config)#failoverlinkLANFAILethernet2fw2(config)#failoverlankey1234567CTX1-Group1CTX2-Group2e0e1CTX1-Group1CTX2-Group2e0e12112FailoverLinke2e3e4e3e4e2第五十七頁,共六十七頁,編輯于2023年,星期四FailoverGroup
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校Active/activefailoveraddssupportforfailovergroup.Failoverisperformedonaunitorgrouplevel.Agroupiscomprisedofoneormorecontexts.Eachfailovergroupcontainsseparatestatemachinestokeeptrackofthegroupfailoverstate.fw2(config)#failovergroup1fw2(config-fover-group)#primaryfw2(config)#failovergroup2fw2(config-fover-group)#secondaryCTX1-Group1CTX2-Group2e0e1e2CTX1-Group1CTX2-Group2e0e1e22112Group1e3e4e3e4PrimarySecondary第五十八頁,共六十七頁,編輯于2023年,星期四安全環(huán)境配置
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校fw2(config)#contextctx1fw2(config-ctx)#allocate-interfaceethernet0fw2(config-ctx)#allocate-interfaceethernet1fw2(config-ctx)#config-urlflash:/ctx1.cfgfw2(config-ctx)#join-failover-group1
fw2(config)#contextctx2fw2(config-ctx)#allocate-interfaceethernet3fw2(config-ctx)#allocate-interfaceethernet4fw2(config-ctx)#config-urlflash:/ctx2.cfgfw2(config-ctx)#join-failover-group2
Internet21CTX1-Group1CTX2-Group2e0e1CTX1-Group1CTX2-Group2e0e112e3e4e3e4Associateinterfacesandagrouptoacontext第五十九頁,共六十七頁,編輯于2023年,星期四安全環(huán)境配置:配置端口
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校fw2(config)#changetocontextctx1fw2/ctx1(config)#interfaceethernet0fw2/ctx1(config-if)#ipaddressstandbyfw2/ctx1(config-if)#nameifoutsidefw2/ctx1(config-if)#exitfw2/ctx1(config)#interfaceethernet1fw2/ctx1(config-if)#ipaddressstandbyfw2/ctx1(config-if)#nameifinsidefw2/ctx1(config-if)#exitContext1Interfacee0IPaddressStandbyInterfacee1IPAddressStandbyContext2Interfacee3IPaddressStandbyInterfacee4IPaddressStandbyCTX1-Group1ActiveCTX2-Group2StandbyInternet21e0e3e1e4e2第六十頁,共六十七頁,編輯于2023年,星期四Showfailover:part1
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校fx2#showfailoverFailoverOnCablestatus:N/A-LAN-basedfailoverenabledFailoverunitPrimaryFailoverLANInterface:lanfailEthernet2(up)UnitPollfrequency15seconds,holdtime45secondsInterfacePollfrequency15secondsInterfacePolicy1MonitoredInterfaces4of250maximumGroup1lastfailoverat:15:54:49UTCDec142004Group2lastfailoverat:15:55:00UTCDec142004Internet21CTX1-Group1ActiveCTX2-Group2Standbye0e1e2CTX1-Group1StandbyCTX2-Group2Activee0e1e212Primarye3e4e3e4第六十一頁,共六十七頁,編輯于2023年,星期四ShowFailover:Part2
藍(lán)狐網(wǎng)絡(luò)技術(shù)培訓(xùn)學(xué)校fx2#showfailover………….Thishost:PrimaryGroup1State:ActiveActivetime:63015(sec)Group2State:StandbyReadyActivetime:0(sec)ctx1Interfaceoutside():Normalctx1Interfaceinside():Normal
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 養(yǎng)老院老人康復(fù)理療師考核獎懲制度
- 【地球課件】地基基礎(chǔ)設(shè)計理論與荷載
- 九年級歷史期末試卷答題卡-教案課件-初中歷史九年級上冊部編版
- 房屋租賃的合同(2篇)
- 《食品安全和營養(yǎng)》課件
- 2025年拉薩貨運(yùn)從業(yè)資格證模擬試題題庫及答案大全
- 2025年揚(yáng)州貨運(yùn)從業(yè)資格證考些什么內(nèi)容
- 2024年土地承包合同終止后的土地經(jīng)營權(quán)租賃協(xié)議6篇
- 中國古代禮儀文明課件-婚禮
- 2025年沈陽經(jīng)營性道路客貨運(yùn)輸駕駛員從業(yè)資格考試
- 化學(xué)品使用安全操作規(guī)范技巧技能講座
- 護(hù)理腦梗死小講課
- 數(shù)字華容道+課時4
- 脫發(fā)演示課件
- 2024年山東濟(jì)南軌道交通集團(tuán)招聘筆試參考題庫含答案解析
- 雙選會策劃書
- 新能源汽車電氣系統(tǒng)檢修(第2版)高職 全套教學(xué)課件
- 高考小說閱讀分類導(dǎo)練:詩化小說(知識導(dǎo)讀+強(qiáng)化訓(xùn)練+答案解析)
- 牛頓第一定律完整版課件
- 區(qū)域經(jīng)濟(jì)學(xué)試題及答案
- 五年級上冊英語一課一練-Unit 6 In a nature park課時(4) 人教PEP(word版含答案)
評論
0/150
提交評論