思科PIX防火墙(6.3版本)的Failover双机热备功能及配置简介

一、简介

Failover是思科PIX防火墙的一种双机热备机制,用于在PIX发生软、硬件故障之后将用户业务快速倒换到备用机,并且由于备用机实时备份了系统的当前配置、TCP连接表等状态信息,所以进行倒换动作时用户不会感知到此次故障。PIX的面板上有指示灯表示当前本机处于主机状态还是备机状态。

二、应用场景描述:

两台PIX防火墙,同型号、同软件版本(PIX6.2以上)。
这两台PIX的inside口连接在一个交换机SwitchA上处于一个二层LAN,同样的,这两台PIX的outside口也连接在一个交换机SwitchB处于一个二层LAN中。SwitchA联通内网,SwitchB联通外网。两台PIX一台为主用状态一台为备用状态,主用状态的配置、TCP连接等信息将实时的备份到备用PIX上,一旦主用机发生软硬件故障,则自动切换到备用状态,原备用机升为主用状态,继续服务。

搭建Failover场景的两台PIX防火墙之间需要两条链接,一条叫做“Failover链接”,一条叫做“状态(state)链接”:

1、“Failover链接”用于在两台PIX之间传递主备协商消息和配置同步。可以用专用的failover串口线路来作为这个Failover链接,也可以用以太网连接作为Failover链接,前者叫做基于串口电缆的Failover(cable-base-failover),后者叫做基于LAN的Failover(LAN-based failover)。

A) 基于串口电缆的Failover:如果两台PIX的物理距离在6英尺以内,建议使用这种方式。这种专用的RS-232电缆一头标注着Primary,一头标注着Secondary,这样通过连接方式天然指定了哪台PIX作为主用设备。

B) 基于LAN的Failover:使用Ethernet链路作为Failover的链接,这个Ethernet接口就不能再同时用于其他用途。它的好处在于可以支持两台相距较远的PIX,并且配置的同步更快。

2、“状态链接”用于在两台PIX之间传递TCP链接状态等系统实时状态信息。状态链接仅支持用Ethernet链接。虽然这条状态链接也可以同时使用刚才介绍的基于LAN的Failover链接,但是建议为状态链接和基于LAN的Failover链接各准备一条各自专用的Ethernet链路。

三、配置实例:

实例一:使用基于串口电缆的Failover配置方案
1、用Failover串口电缆链接两台PIX设备,标有Primary的一端将作为Primary设备。(以下配置都在Primary设备上进行,Secondary设备无需配置)
2、选中一个Ethernet口作为“状态链接”的链路接口。假设选择了并nameif命名为state-if。
3、为接口配置IP。ip address state-if 192.168.2.1 255.255.255.0
4、配置接口的Failover IP。当本设备切换为备用机时,该接口将使用这个地址。此处无需配置子网掩码,但是必须与第3步配置的IP在同一网段。
5、明确指定这个接口为Failover使用的“状态链接”接口。failover link state-if 。 此处这个state-if就是我们之前命名的接口名称。
6、指定failover查询时间间隔。 failover pool 10? 此处10表示查询间隔设置为10秒。可以配置3-15中任意的数值,不配置的话默认为15秒。
7、使能Failover。? 命令为就是全局模式的failover。
8、启动备用机。
9、write memory。 这样,主备机分别将配置存储在Flash卡中。

实例二:使用基于LAN的Failover配置方案(基于LAN的Failover配置需要在主备机分别配置)
主机配置:
1、配置“Failover链接”
1.1 选中一个Ethernet口作为“Failover链接”的链路接口。假设将这个接口nameif命名为failover-if。
1.2 配置这个Failover链路接口的IP。注意,这个接口地址将一直使用在这台设备上,即使它切换为备用机时。
2、配置“状态链接”
2.1 选中一个Ethernet口作为“状态链接”的链路接口。假设将这个接口nameif命名为state-if。
2.2 为这个state-if配置IP地址
3、为接口设置Failover IP。当本设备切换为备用机时,该接口将使用这个地址。此处无需配置子网掩码,但是必须与接口的主IP在同一网段。注意:Failover链路的接口IP不会在倒换后发生切换,即无论怎样倒换,两台PIX的Failover接口的IP将一直保持两机备份系统初始时的值。
4、指定“状态链路”接口。failover link state-if
5、指定failover查询时间间隔。
6、指定本机为Primary设备(首次启动后作为主设备)。
7、指定“Failover链路”的接口。failover lan interface failover-if
8、指定failover通信的加密密钥。failover lan key string。其中string为密钥字符串。如果不配置本命令,将明文传输。
9、使能“基于LAN的Failover”。 failover lan enable。 不配置本命令时,即为默认的使用“基于串口电缆的Failover”。
10、使能Failover。 命令:failover。
11、保存配置? write memory。
备机配置:(相对主机的配置来说,备机只需要配置failover链路的相关配置)
1、选中作为failover链路的接口,并配置IP和nameif。假设nameif为failover-if
2、配置failover IP。 failover ip address failover-if 192.168.2.2 255.255.255.0
3、配置本机为Secondary设备。本配置不配也可,因为默认即为Secondary设备。
4、指定Failover链路接口。 failover lan interface failover-if。此处failover-if就是我们前面选定的接口的名称。
5、配置Failover链路传输的加密密钥。failover lan key string? 此处string就是加密密钥字符串。此处务必使用和Primary设备相同的加密密钥。
6、使能Failover链路。 failover lan enabel
7、保存配置? write memory? 保存前面配置的一些无法从主机获取的配置
8、使能failover
9、保存配置?? write memory

四、其他命令

1、强制切换:在主机运行no failover active;在备机运行failover active
2、关闭failover功能: 在主机运行no failover,如果使用了基于LAN的failover链路,还需要运行 no failover lan enable

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

*

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>