防火墙故障切换VIP免费

防火墙故障切换一、实验拓扑二、知识了解第一个：Failover线，又叫心跳线，是一条故障切换线；参与failover的防火墙通过这条线决定本身的状态，即选举主备或在主设备发生故障时，次设备成为主设备继续提供安全服务；可以是一条专用Cable或LAN线；传递配置信息和检测信息，以及状态信息。第二个；Statfulfailover线，又叫状态线；时刻传递状态信息从主到次；接该线的接口必须大于等于用户数据接口的速率（inside、outside接口）；可以使用一个专用以太接口或共享LAN-base的Failover线，也可以共享用户但不建议。第三个；Failover组网拓扑（方式）：基于Cable、基于LAN；基于Cable：专用线缆，仅限于PIX，ASA不支持；专用的Cable线能快速检测对等体电源失效；备份设备不用配置，不占有以太接口；防火墙内外口DMZ区各占用一个子网；主备关系由电缆决定；Primary和Secondary；限制Cable线只有6Feet；拷贝速度慢，115Kb/s；基于LAN：使用以太网互联传递Failover信息；配置信息等；为了Failover线是活动的，需要在防火墙间加交换机；禁用交换机的DTP、PAGP等协议，手工配置access、portfast等；切换时，Failover线不交换IP、MAC；距离不受限制；但是交换机容易单点故障；第四个：Failover工作模式：A/S主备、A/A负载均衡；强制切换为主FailoveractiveA/S主备特点：一台设备为主，另外一台为备份；同时只有一台防火墙处理用户数据;主设备发生故障时，次设备成为主设备并接管原主设备的所有接口Ip地址和MAC地址；对于用户来说，整个切换是透明的。A/A负载均衡：两台防火墙同时都处理用户数据，把每台防火墙划分为两个虚拟防火墙，分别挑选出一个Context组成failover组，共两组；每个组挑出一个Active防火Fa0/0Fa0/1Fa0/3Fa0/0墙，Active设备，Active设备分别属于不同物理防火墙；standby设备成为Active设备时接管原active设备的接口IP地址和MAC地址；对于用户来说，整个切换过程是透明的。第五个：故障切换分类：正常切换（RegularFailover）：发生切换的时候，全部的连接会话将被丢弃客户端需要重新建立连接。即业务会中断。状态切换（StatefulFailover）：启用状态切换，active设备时刻同步状态给standby设备，发生切换时，业务不会中断，客户端不需要重新建立连接。三、实验目的四、实验配置基本配置：R1(config-if)#interfacefa0/0R1(config-if)#ipaddress200.200.200.2255.255.255.0R1(config-if)#noshutdownR1(config-if)#exitR2(config)#interfacefa0/0R2(config-if)#ipaddress192.168.1.2255.255.255.0R2(config-if)#noshutdownR2(config-if)#exitR2(config)#iproute0.0.0.00.0.0.0192.168.1.1SW3(config)#interfacefa0/1SW3(config-if)#switchportmodeaccessSW3(config-if)#switchportaccessvlan20SW3(config)#interfacefa0/7SW3(config-if)#switchportmodeaccessSW3(config-if)#switchportaccessvlan20SW3(config-if)#exitSW3(config)#interfacefa0/3SW3(config-if)#switchportmodeaccessSW3(config-if)#switchportaccessvlan10SW3(config-if)#exitSW3(config)#interfacefa0/8SW3(config-if)#switchportmodeaccessSW3(config-if)#switchportaccessvlan10SW3(config-if)#exitSW3(config)#interfacefa0/24SW3(config-if)#switchportmodetrunkSW3(config-if)#switchporttrunkallowedvlanallSW11(config)#interfacefa0/24SW11(config-if)#switchportmodetrunkSW11(config-if)#switchporttrunkallowedvlanallSW11(config)#interfacefa0/7SW11(config-if)#switchportmodeaccessSW11(config-if)#switchportaccessvlan10SW11(config)#interfacefa0/8SW11(config-if)#switchportmodeaccessSW11(config-if)#switchportaccessvlan20接口的配置不一样配置LAN的A/S模式：第一步：连接cable电缆：不要加电从设备第二步：加电主设备并配置：接口命名、IP地址、安全级别等FW4(config)#interfaceethernet0FW4(config-if)#nameifoutsideINFO:Securitylevelfor"outside"setto0bydefault.FW4(config-if)#security-level0FW4(config-if)#ipaddress200.200.200.1255.255.255.0standby200.20...