配置文件Failover意味着故障消除,它与HSRP和VRRP非常相似,是一种冗馀备份技术,在主节点关闭时自动切换到备份端
故障转移器分为Aactive/standby和Aactive/Active,另一个区别是硬件故障转移器和状态故障转移器。
1、Aactive/standby如HSRP,主要是使用down时,备用是传输数据
2、Aactive/Active它必须与上述上下文配套使用。 虚拟化多个防火墙,如下图所示,Cisco-primary虚拟化两个上下文1和2,secondary也虚拟化两个上下文1和2,其中虚拟化Cisco-primary Cisco-primary的2为standby,第二个为active。 这样,无论哪个变为Dwon,都可以直接切换到另一侧进行通信转发。 在A/A中,两个防火墙都实现了转发通信,而不是空闲备用。
3、hardwarefailover,和statefulfailover .前者只备份配置,不备份剩下的,而后者在备份配置的同时,也备份了状态化信息。 例如TCP的会话。 这样可以在不中断TCP连接的情况下进行切换。
故障恢复器需要注意的一点是,它对一两个防火墙的硬件和软件型号和版本一直保持不变,并且有许可信息。 否则,做故障发生器就会失败。 在、
2、PIX支持电缆串行和基于局域网作为两个防火墙的连接
3、ASA只支持基于局域网
电缆串行的特点是可以很好地监视双方的状态。 例如,即使对方没有接通电源或没有接通电缆,也可以立即检查两个链接是否正常。 缺点是距离短,好像只有1.5米的距离
局域网:是我们常用的双绞线。 虽然距离很长,但没有cable serial那么好。
探测机制: 1、检查了链路下行
2、这个接口是否还收到包,那么看一下ARP表,最近的10个ARP的映射,发送ARP请求是否有响应,如果没有响应,最后进行广播ping。 如果还没有人应答的话,以secondary为主。
failover的切换机制与HSRP的不同之处在于,HSRP将虚拟VIP和MAC地址作为GW进行传输,而failover都使用真实的地址,PC的网关指定主用那一方,到了主用down时
这里需要三个接口。 一个是在failover两侧专门协商的,另两个通常是转发流量的。 官方建议failover连接通过不同的交换机进行连接,failover和stateful可以使用相同的接口作为备份配置和状态。 在这里创建这个环境,我会记得连接时记录所有接口,并记录我用作什么。 否则,后面就分不清了。
首先是基本配置、VLAN划分、基本IP配置Cisco-SW (配置) #vlan 2
Cisco-SW(config-VLAN ) #name Failover
Cisco-SW (配置#vlan 3 ) #vlan 3
Cisco-SW (配置- VLAN ) #name Cisco-Outside
Cisco-SW (配置#vlan 4 ) #vlan 4
Cisco-SW (配置- VLAN ) #name Cisco-Inside
对于failover VLAN分区,根据拓扑结构,Cisco-SW (配置) # intrangef1/01
配置范围(Cisco-SW ) #交换机端口模式访问
配置范围(Cisco-SW ) #交换机端口访问VLAN 2
思科外思科- SW (配置) #int range f1/3 -4、f1/6
配置范围(Cisco-SW ) #交换机端口模式访问
配置范围(Cisco-SW ) #交换机端口访问VLAN 3
Cisco-insideccieh 3c.qzone.com-SW (config ) #int range f1/5、f1/2、f1/7
配置范围(Cisco-SW ) #交换机端口模式访问
配置范围(Cisco-SW ) #交换机端口访问VLAN 4
最后,在配置时,请检查VLAN和接口是否兼容。 否则,排错就麻烦了。
思科外包(配置) #int f0/0
思科- outside (config-if ) # IP地址10.1.1.1 255.255.2
55.0Cisco-OUtside(config-if)#no shut
Cisco-Outside(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.254
Cisco-Outside(config)#line vty 0 4
Cisco-Outside(config-line)#password cisco Cisco-Inside
Cisco-Inside(config-line)#int f0/0
Cisco-Inside(config-if)#ip add 12.1.1.1 255.255.255.0
Cisco-Inside(config-if)#no shut
Cisco-Inside(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.254
基本配置搞定,一条默认路由指向Cisco-primary的地址就行了。主要在于firewall的配置了,只需要Cisco-primary这边
防火墙的基本配置,首先把三个接口全部打开,然后配置IP地址。Cisco-Primary(config-if)# int e0
Cisco-Primary(config-if)# no shut
Cisco-Primary(config-if)# int e1
Cisco-Primary(config-if)# nameif outside
INFO: Security level for “outside” set to 0 by default.
Cisco-Primary(config-if)# ip add 10.1.1.1 255.255.255.0 st
Cisco-Primary(config-if)# ip add 10.1.1.254 255.255.255.0 standby 10.1.1.253
Cisco-Primary(config-if)# no shut
Cisco-Primary(config-if)# int e2
Cisco-Primary(config-if)# nameif inside
INFO: Security level for “inside” set to 100 by default.
Cisco-Primary(config-if)# ip add 12.1.1.254 255.255.255.0 standby 12.1.1.253
Cisco-Primary(config-if)# no shut
这里E0作为failover的接口,只需要开启就好,而配置IP的时候多了个standby 这是配置failover才需要的,定义standby的地址为多少。
Cisco-primary(config)# failover lan enable 在PIX上需要开启LAN-Based功能,ASA不需要
Cisco-primary(config)# failover lan unit Cisco-primary 配置这边为主
Cisco-primary(config)# failover lan interface FO e0 设置e0接口为failover接口,这里定义的是前面先跟一个名字,然后在跟接口
INFO: Non-failover interface config is cleared on Ethernet0 and its sub-interfaces
Cisco-primary(config)# failover interface ip FO 11.1.1.254 255.255.255.0 standby 11.1.1.253 根据这个名字配置 failover的地址,用于协商c
primary(config)# failover 开启failover功能。
这样主防火墙配置完了,standby那边就很简单了。
standby(config)# int e0
standby(config-if)# no shutdown
standby(config)# failover lan enable
standby(config)# failover lan unit secondary
standby(config)# failover lan interface FO e0
INFO: Non-failover interface config is cleared on Ethernet0 and its sub-interfaces
standby(config)# failover interface ip FO 11.1.1.254 255.255.255.0 standby 11.1.1.253
standby(config)# failover
standby这边除了一个状态为secondary以外,其余的一模一样,包括failover的主IP和备用IP。
发现敲了failover后,就开始同步了,最后standby的配置都备份了Cisco-primary了,配置都copy过来了。
这个是failover的信息,轮循时间为15s,holdtime 为3倍,可以通过failover timeout 来修改。
切换failover的主备关系。
保存stadnby的配置,许多操作都在主用那边操作就可以了。
开始下telnet的功能。
一边有转换状态的信息,另外一边没有,所以当parimary这边down的话,那么telnet的会话就会断开了。
Active/standby的stateful的failover如果是单独的接口做stateful的话,那么就需要先定义一个名字跟接口,然后为这个名字配置Cisco-primary和standby的IP地址。
failover link state e3
failover interface ip state 192.168.5.1 255.255.255.0 standby 192.168.5.2
我这个环境直接使用FO的接口也作为stateful的使用,配置很简单
Cisco-primary(config)# failover link FO
这时候就有状态化信息的出现了,当有TCP的连接时候 它会自动备份到standby那边。 这时候来测试telnet,看是否会断开telnet的连接。
telnet的会话没有断开,只是中间会卡住45s,这个时间是用于standby切换到Active时间,所以会卡住,但是telnet会话不会断开。
两边的状态化表现都有,所以关于TCP的会话,不会因为设备出现了故障而断开。
如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。