防火墙故障切换一、实验拓扑二、知识了解第一个:Failover线,又叫心跳线,是一条故障切换线;参与failover的防火墙通过这条线决定本身的状态,即选举主备或在主设备发生故障时,次设备成为主设备继续提供安全服务;可以是一条专用Cable或LAN线;传递配置信息和检测信息,以及状态信息。第二个;Statfulfailover线,又叫状态线;时刻传递状态信息从主到次;接该线的接口必须大于等于用户数据接口的速率(inside、outside接口);可以使用一个专用以太接口或共享LAN-base的Failover线,也可以共享用户但不建议。第三个;Failover组网拓扑(方式):基于Cable、基于LAN;基于Cable:专用线缆,仅限于PIX,ASA不支持;专用的Cable线能快速检测对等体电源失效;备份设备不用配置,不占有以太接口;防火墙内外口DMZ区各占用一个子网;主备关系由电缆决定;Primary和Secondary;限制Cable线只有6Feet;拷贝速度慢,115Kb/s;基于LAN:使用以太网互联传递Failover信息;配置信息等;为了Failover线是活动的,需要在防火墙间加交换机;禁用交换机的DTP、PAGP等协议,手工配置access、portfast等;切换时,Failover线不交换IP、MAC;距离不受限制;但是交换机容易单点故障;第四个:Failover工作模式:A/S主备、A/A负载均衡;强制切换为主FailoveractiveA/S主备特点:一台设备为主,另外一台为备份;同时只有一台防火墙处理用户数据;主设备发生故障时,次设备成为主设备并接管原主设备的所有接口Ip地址和MAC地址;对于用户来说,整个切换是透明的。A/A负载均衡:两台防火墙同时都处理用户数据,把每台防火墙划分为两个虚拟防火墙,分别挑选出一个Context组成failover组,共两组;每个组挑出一个Active防火Fa0/0Fa0/1Fa0/3Fa0/0墙,Active设备,Active设备分别属于不同物理防火墙;standby设备成为Active设备时接管原active设备的接口IP地址和MAC地址;对于用户来说,整个切换过程是透明的。第五个:故障切换分类:正常切换(RegularFailover):发生切换的时候,全部的连接会话将被丢弃客户端需要重新建立连接。即业务会中断。状态切换(StatefulFailover):启用状态切换,active设备时刻同步状态给standby设备,发生切换时,业务不会中断,客户端不需要重新建立连接。三、实验目的四、实验配置基本配置:R1(config-if)#interfacefa0/0R1(config-if)#ipaddress200.200.200.2255.255.255.0R1(config-if)#noshutdownR1(config-if)#exitR2(config)#interfacefa0/0R2(config-if)#ipaddress192.168.1.2255.255.255.0R2(config-if)#noshutdownR2(config-if)#exitR2(config)#iproute0.0.0.00.0.0.0192.168.1.1SW3(config)#interfacefa0/1SW3(config-if)#switchportmodeaccessSW3(config-if)#switchportaccessvlan20SW3(config)#interfacefa0/7SW3(config-if)#switchportmodeaccessSW3(config-if)#switchportaccessvlan20SW3(config-if)#exitSW3(config)#interfacefa0/3SW3(config-if)#switchportmodeaccessSW3(config-if)#switchportaccessvlan10SW3(config-if)#exitSW3(config)#interfacefa0/8SW3(config-if)#switchportmodeaccessSW3(config-if)#switchportaccessvlan10SW3(config-if)#exitSW3(config)#interfacefa0/24SW3(config-if)#switchportmodetrunkSW3(config-if)#switchporttrunkallowedvlanallSW11(config)#interfacefa0/24SW11(config-if)#switchportmodetrunkSW11(config-if)#switchporttrunkallowedvlanallSW11(config)#interfacefa0/7SW11(config-if)#switchportmodeaccessSW11(config-if)#switchportaccessvlan10SW11(config)#interfacefa0/8SW11(config-if)#switchportmodeaccessSW11(config-if)#switchportaccessvlan20接口的配置不一样配置LAN的A/S模式:第一步:连接cable电缆:不要加电从设备第二步:加电主设备并配置:接口命名、IP地址、安全级别等FW4(config)#interfaceethernet0FW4(config-if)#nameifoutsideINFO:Securitylevelfor"outside"setto0bydefault.FW4(config-if)#security-level0FW4(config-if)#ipaddress200.200.200.1255.255.255.0standby200.20...
