1、故障恢復（Failover）,長沙藍狐網(wǎng)絡(luò) 鐘樂,藍狐網(wǎng)絡(luò)（Bluefox）版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播,第五章：故障恢復,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,故障恢復產(chǎn)生背景,故障恢復功能簡介,故障恢復技術(shù)特點,故障恢復組網(wǎng)應用,故障恢復詳細配置,5.1 故障恢復產(chǎn)生背景,在當今網(wǎng)絡(luò)中，用戶對一些重要業(yè)務入口或接入點的可靠性要求越來越高，如何保證網(wǎng)絡(luò)避免單點故障，保證網(wǎng)絡(luò)的不間斷傳輸，成為網(wǎng)絡(luò)急需解決的一個問題,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,5.1 故障恢復產(chǎn)生背景,傳統(tǒng)備份組網(wǎng)方案適用于接入點是路由器等轉(zhuǎn)發(fā)設(shè)備的情況。因為經(jīng)過設(shè)備的每個報文都是查找轉(zhuǎn)發(fā)表進行轉(zhuǎn)發(fā)，鏈路切換后，后續(xù)報文的轉(zhuǎn)發(fā)不受影響。 但是當

2、接入點是狀態(tài)防火墻等設(shè)備時，由于狀態(tài)防火墻是基于連接狀態(tài)的，當用戶發(fā)起會話時，狀態(tài)防火墻只會對會話的首包進行檢查，如果首包允許通過則會建立一個會話表項（表項里包括源IP、源端口、目的IP、目的端口等信息），只有匹配該會話表項的后續(xù)報文（包括返回報文）才能夠通過防火墻。如果鏈路切換后，后續(xù)報文找不到正確的表項，會導致當前業(yè)務中斷。,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,故障恢復,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,故障恢復產(chǎn)生背景,故障恢復功能簡介,故障恢復技術(shù)特點,故障恢復組網(wǎng)應用,故障恢復詳細配置,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,,,Primary: ActiveSecurity Applia

3、nce,Internet,,,Secondary: StandbySecurity Appliance,Serial Cable,failover功能簡介,安全設(shè)備支持兩種故障恢復類型：常規(guī)故障恢復和狀態(tài)故障恢復 Hardware failover Stateful failover,5.2 故障恢復簡介,安全設(shè)備支持兩種故障恢復類型：常規(guī)故障恢復和狀態(tài)故障恢復 Hardware failover 連接都被丟棄. 客戶端應用程序必須重新連接 提供硬件冗余 提供serial-based或者LAN-based failover Stateful failove

4、r TCP連接保持活躍狀態(tài) 客戶端應用程序不需要重新連接. 提供冗余和狀態(tài)連接 通過 stateful link. 提供,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,5.2 故障恢復簡介,狀態(tài)鏈路接口用于傳遞從主動單元到備用單元所有已經(jīng)建立連接的狀態(tài)。在每一個狀態(tài)故障恢復設(shè)置中，傳遞到備用單元的信息包含如下內(nèi)容,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,NAT的轉(zhuǎn)換表 TCP連接 UDP的連接狀態(tài) ARP條目 在透明防火墻模式運行下的第2層橋接表 HTTP鏈路狀態(tài)（如啟用HTTP復制） Internet安全關(guān)聯(lián)和密鑰管理協(xié)議（ISAKMP）IPSEC 的SA服務表,故障恢復,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,故障恢復產(chǎn)生背景,故障恢復功能簡介,故

5、障恢復技術(shù)特點,故障恢復組網(wǎng)應用,故障恢復詳細配置,故障恢復技術(shù)特點,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,故障恢復設(shè)備要求,故障恢復工作方式,故障恢復工作模式,故障恢復健康監(jiān)測,5.3 故障恢復設(shè)備要求,故障恢復對其中的兩個安全設(shè)備必須完全相同，并且通過專用故障恢復鏈路（接口）連接。若啟用安全設(shè)備上的故障恢復特性，則設(shè)備需要滿足下列條件：,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,具有相同數(shù)量的模塊和硬件配置； 具有相同的接口號和類型； 具有相同的內(nèi)存容量和RAM容量； 處于相同的操作模式（路由或透明，單一或多環(huán)境）； 具有相同的軟件版本；(主、次版本必須一致) 具有相同的特性： （DES或3DES）; 合適的licensin

6、g,故障恢復技術(shù)特點,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,故障恢復設(shè)備要求,故障恢復工作方式,故障恢復工作模式,故障恢復健康監(jiān)測,故障恢復工作方式,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,基于cable的工作方式,基于LAN的工作方式,5.4 故障恢復鏈路類型,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,Cable-Based,Secondary Security Appliance,Primary Security Appliance, /24,.1,e0,e0, /24,e1,e1,.11,Internet,Cable-Based,LAN-Based,e2,e2,LAN-Based,e3,e3,State

7、ful Link,Stateful,5.4.1 故障恢復鏈路類型,串行電纜的故障恢復鏈路（僅PIX 500系列支持）：,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,此電纜是一個專用串行電纜，能提供較快的收斂。安全設(shè)備可以感知對等體單元的功率損耗。 故障切換中的兩個單元通過故障切換電纜連通.故障切換電纜是一個改良長6英尺的RS-232系列鏈路電纜,以115kbit/s的速度傳輸數(shù)據(jù) 故障切換電纜每端都有標簽,一端標為”主要”,應該連接到主要單元.另一端則標為”輔助”連接到輔助單元.對備用單元的改變永遠不會復制到活躍單元.,5.4.2 基于cable的工作方式,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,Primary Labeled Co

8、nnector,Secondary Labeled Connector,基于Cable: 專用的線纜，僅限于PIX,ASA沒有； 專用的Cable線能快速檢測對等體電源失效； 備份設(shè)備不用配置，不用占有以太接口； 主備關(guān)系由電纜決定；Primary和Secondary； 備份設(shè)備不需要任何配置，通電即可 距離限制,Cable線只有6feet； 拷貝速度慢，115kb/s；,故障恢復工作方式,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,基于cable的工作方式,基于LAN的工作方式,5.4.1 故障恢復鏈路類型,基于LAN的故障恢復鏈路： Statful failover線：,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,.使用以太網(wǎng)接口來

9、做故障恢復，它應該使用一個專用交換機或放進 一 個專用VLAN,或使用一個交叉以太網(wǎng)電纜連接 .優(yōu)點是單元的物理距離可以大于6英尺，而且具有更快的傳輸復制速度， 缺點是收斂較慢；安全設(shè)備不能立即檢測對方的功率損耗,.時刻傳遞狀態(tài)信息從主到次；如conn、xlate等信息； .接該線的接口必須大于等于用戶數(shù)據(jù)接口的速率（inside、outside接口）；,5.4.3 基于LAN的工作方式,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,Primary active,Secondary standby,E4,E3,internet,5.4.3 基于LAN的工作方式,基于LAN: 使用以太網(wǎng)互聯(lián)傳遞FO信息：配置信息等；

10、為了FO線是活動的，需要在FW間加交換機；禁用交換機的DTP、Pagp等協(xié)議，手工配置access、portfast等； 切換時，F(xiàn)ailover線不交換IP、mac; 距離不受限制；SW單點故障； 如果沒有距離限制的話，也可以直接用以太網(wǎng)交叉線將兩個防火墻直連,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,故障恢復技術(shù)特點,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,故障恢復設(shè)備要求,故障恢復工作方式,故障恢復工作模式,故障恢復健康監(jiān)測,故障恢復工作模式,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,主備模式A/S,負載均衡模式A/A,5.5.1主備模式: Active/Standby,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,Primary: Active,Secondary:

11、 Standby,Failover: Active/Standby,Primary: Failed,Secondary: Active,Failover: Active/Standby,主備模式A/S,主備模式下的兩臺防火墻，其中一臺作為主設(shè)備，另一臺作為備份設(shè)備。主設(shè)備處理所有業(yè)務，并將產(chǎn)生的會話信息傳送到備份設(shè)備進行備份；備份設(shè)備不處理業(yè)務，只用做備份,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,故障恢復工作模式,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,主備模式A/S,負載均衡模式A/A,5.5.2 負載均衡模式: Active/Active,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,Secondary:,Primary:,Contexts,Act

12、ive/Standby,Standby/Active,Secondary:,Primary:,Failed/Standby,Active/Active,故障恢復技術(shù)特點,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,故障恢復設(shè)備要求,故障恢復工作方式,故障恢復工作模式,故障恢復健康監(jiān)測,5.6.1 故障恢復健康監(jiān)測,防火墻監(jiān)控每一個安全單元的整體健康和端口健康，可以分為： 單元健康監(jiān)測 防火墻確定另外一個單元的健康是通過監(jiān)測failover鏈路，當防火墻在failover鏈路上連續(xù)三個hello時間都沒有收到對方的hello包時，它開始在單元所有端口發(fā)送ARP請求。包括failover端口。防火墻依據(jù)從對等單元收到的

13、回應執(zhí)行相應的動作：,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,單元健康監(jiān)測； 端口健康監(jiān)測；,5.6.1 單元健康監(jiān)測,如果防火墻在 failover端口上收到一個響應，那么不會發(fā)生故障切換 如果防火墻沒有在failover端口收到響應，但從其他端口收到響應，那么也不會發(fā)生故障切換。但failover 鏈路被標記為Failed。你應該盡快恢復failover鏈路。因為當failover鏈路出現(xiàn)故障時，并不會發(fā)生故障切換 如果防火墻在任何端口均沒有收到回應，那么備份單元切換到active模式，并標記其他單元為Failed 你可以調(diào)整hello消息的周期時間和hlodtime時間。更快的查詢周期和更短的holdti

14、me時間能加速檢測單元故障。但也有可能在網(wǎng)絡(luò)擁塞而導致hello包延遲時，產(chǎn)生假的故障消息,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,5.6.2 端口健康監(jiān)測,當單元設(shè)備在監(jiān)控端口超過一半的holdtime時間仍沒有收到hello消息時，它運行下列的測試檢測端口健康 鏈路連接/關(guān)閉測試:這是用來測試網(wǎng)絡(luò)端口自己本身的.如果一個端口網(wǎng)卡沒有插入到網(wǎng)絡(luò),那么它被認為是有故障的.例如,HUB或者交換機出現(xiàn)故障,或者線纜沒有被插入.如果這個測試沒有發(fā)現(xiàn)任何問題,那么網(wǎng)絡(luò)活動測試開始. 網(wǎng)絡(luò)活動測試:防火墻單元直到5秒鐘時間內(nèi)計算所有收到的分組.如果在此間隔中的任何時間內(nèi)收到任何分組,接口被認為是在運行的.如果沒有收到任何

15、的流量,開始進行ARP測試.,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,5.6.2 端口健康監(jiān)測,ARP測試:ARP測試包括評估最近獲得的10個防火墻單元的ARP緩存內(nèi)的條目.防火墻發(fā)送ARP請求到緩存中條目對應的設(shè)備,以試圖觸發(fā)網(wǎng)絡(luò)流量.在每以次請求之后,防火墻計算5秒時間內(nèi)收到的流量,如果收到流量,端口被認為是運行的,如果沒有收到任何流量,ARP請求被發(fā)送到下一個機器.如果到列表末尾還沒有收到任何流量,那么PING測試開始. PING測試:這個測試是由發(fā)送廣播式PING請求組成的.然后防火墻單元在5秒中內(nèi)計算所有接受到的分組.如果在次間隔內(nèi)的任何時間接受到分組,接口被認為是在運行的.測試終止.如果沒有接受到流

16、量.那么端口被認為出現(xiàn)了故障,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,5.6.2 端口健康監(jiān)測,主和備份防火墻在15秒間隔內(nèi)(默認情況下),通過向所有網(wǎng)絡(luò)端口發(fā)送出特定的failover hello包,以確定一切都在正常工作. 當一個故障出現(xiàn),而故障并不是由斷電所引起的時候.failover開始一系列的測試。這些測試的目的是,產(chǎn)生網(wǎng)絡(luò)流量以用來測試是哪個防火墻出現(xiàn)故障. 在每一個測試開始之前,每一個防火墻都會清除端口所有收到的數(shù)據(jù)包.在每一個測試結(jié)束時,每一個防火墻查看是否有收到的任何流量.如果有,那么端口被認為是運行的.如果一個防火墻收到了測試的流量,而另外一個防火墻沒有,那么沒有收到測試流量的防火墻被認為出

17、現(xiàn)了故障,如果都收到了流量那么測試繼續(xù).,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,故障恢復,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,故障恢復產(chǎn)生背景,故障恢復功能簡介,故障恢復技術(shù)特點,故障恢復組網(wǎng)應用,故障恢復詳細配置,故障恢復詳細配置,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,基于Cable故障恢復配置,基于LAN的故障恢復配置,5.7.1串行線Active/Standby故障切換,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,,,Primary: ActiveSecurity Appliance,Internet,Primary: FailedSecurity Appliance,Internet,,192.16

18、8.2.7,,,,,Secondary: ActiveSecurity Appliance,Secondary: StandbySecurity Appliance,Failover,Serial Cable,Serial Cable,步驟一：連接備份防火墻,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,Internet,.7,SecondarySecurity Appliance,,,.1,.2,.7,PrimarySecurity Appliance,步驟二：連接Failover Cable,藍狐網(wǎng)絡(luò)

19、技術(shù)培訓學校,Primary Labeled Connector,步驟三：配置主防火墻,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,Internet,.7,SecondarySecurity Appliance,,,.1,.2,.7,fw2(config)# failover fw2(config)# interface ethernet0 fw2(config-if)# ip address standby fw2(config)# interface ethernet1 fw2(config-if)

20、# ip address standby fw2(config)# failover polltime unit 10,Failover cable,在主防火墻上開啟failover 在主防火墻上配置active和standby ip地址 (可選)配置failover,hello時間,show failover命令：備份防火墻Power off,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,fw2# show failover Failover On Cable status: Other side not connected Failover unit

21、 Primary Failover LAN Interface: N/A - Serial-based failover enabled Unit Poll frequency 15 seconds, holdtime 45 seconds Interface Poll frequency 15 seconds Interface Policy 1 Monitored Interfaces 3 of 250 maximum Last Failover at: 13:21:38 UTC Dec 10 2004 This host: Primary - Active Active time: 20

22、0 (sec) Interface outside (): Normal (Waiting) Interface inside (): Normal (Waiting) Interface dmz (): Normal (Waiting) Other host: Secondary Not detected Active time: 0 (sec) Interface outside (): Unknown (Waiting) Interface inside (): Unknown (Waitin

23、g) Interface dmz (): Unknown (Waiting) Stateful Failover Logical Update Statistics Link : Unconfigured,步驟四：備份防火墻加電,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,復制主防火墻配置到輔助防火墻,Internet,.7,SecondarySecurity Appliance,,,.1,.2,.7,Replication,Detected an active mate Beginning configuration replication to mate

24、. End configuration replication to mate.,Power On,show failover,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,Detected an active mate Beginning configuration replication to mate. End configuration replication to mate. fw2# show failover Failover On Cable status: Normal Failover unit Primary Failover LAN Interface: N/A - Serial-based

25、failover enabled Unit Poll frequency 15 seconds, holdtime 45 seconds Interface Poll frequency 15 seconds Interface Policy 1 Monitored Interfaces 3 of 250 maximum Last Failover at: 13:21:38 UTC Dec 10 2004 This host: Primary - Active Active time: 300 (sec) Interface outside (): Normal Inte

26、rface inside (): Normal Interface dmz (): Normal Other host: Secondary Standby Ready Active time: 0 (sec) Interface outside (): Normal Interface inside (): Normal Interface dmz (): Normal Stateful Failover Logical Update Statistics Link : Unconfigured,強

27、制切換,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,Primary: Standby Activefw1,Internet,Secondary: Active Standbyfw2,,,fw2(config)# failover active,強制將防火墻設(shè)備切換到active狀態(tài),failover active,fw1(config)#,故障恢復詳細配置,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,基于Cable故障恢復配置,基于LAN的故障恢復配置,5.7.2 基于LAN的故障恢復配置,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,主備模式A/S配置,負載均衡模式A/A配置,LAN-Based Failover 配置步

28、驟,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,Complete the following tasks to configure LAN-based failover: Install a LAN-based failover connection between primary and secondary security appliances. Configure the primary security appliance. Configure the primary security appliance for stateful failover. Save the primary security ap

29、pliance configuration to Flash memory. Power on the secondary security appliance. Configure the secondary security appliance with the minimum failover LAN command set. Save the secondary security appliance configuration to Flash memory. Connect the secondary unit LAN failover interface to the networ

30、k. Reboot the secondary security appliance.,以太網(wǎng)failover連線,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,PrimarySecurity Appliance,Internet,e0,SecondarySecurity Appliance,,,e1,e0,e1,e2,e2,LAN Failover,Lan-based:配置主和輔助地址,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,fw1(config)# interface ethernet0 fw1(config-if)# ip address

31、standby fw1(config)# interface ethernet1 fw1(config-if)# ip address standby fw1(config)# interface ethernet2 fw1(config-if)# ip address standby ,Primaryfw1,Internet,.7,SecondarySecurity Appliance,,,.1,.

32、2,.7,,.1,.7,Lan-based:配置primary,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,fw2(config)# interface ethernet3 fw2(config-if)# no shut fw2(config)# failover lan interface LANFAIL ethernet3 fw2(config)# failover interface ip LANFAIL standby fw2(config)# failover lan enable fw2(config)# fai

33、lover lan unit primary fw2(config)# failover key 1234567 fw2(config)# failover,Primaryfw1,Internet,.7,SecondarySecurity Appliance,,,.1,.2,.7,,.1,.7,狀態(tài)型故障切換,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,failover link if_name phy_if,fwfirewall(config)#,fw2(config)# failover link LANFAIL,Specifies the name o

34、f the dedicated interface used for stateful failover.,Primaryfw1,Internet,.2,SecondarySecurity Appliance,,,.1,.1,.2,Stateful failover,e2,e2,LAN Failover配置:Secondary,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,Primaryfw1,Internet,.2,Secondaryfw2,,,.1,.1,.2,,.1,.7,fw2(config)# interface

35、 ethernet3 fw2(config-if)# no shut fw2(config)# failover lan interface LANFAIL ethernet3 fw2(config)# failover interface ip LANFAIL standby fw2(config)# failover lan unit secondary fw2(config)# failover lan key 1234567 fw2(config)# failover lan enable fw2(config)#

36、 failover,主備復制,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,Failover LAN became okay Switchover enabled Detected an Active mate Beginning configuration replication sending to mate. End configuration replication to mate. fw2# sh fail history = From State To State Reason = Standby Ready Just Active Other unit want me Active Just Activ

37、e Active Drain Other unit want me Active Active Drain Active Applying Config Other unit want me Active Active Applying Config Active Config Applied Other unit want me Active Active Config Applied Active Other unit want me Active =,Primaryfw1,Internet,Secondaryfw2,show failover命令,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,fw2(confi

38、g)# sh fail Failover On Cable status: N/A - LAN-based failover enabled Failover unit Secondary Failover LAN Interface: lanfail Ethernet3 (up) Unit Poll frequency 15 seconds, holdtime 45 seconds Interface Poll frequency 15 seconds Interface Policy 1 Monitored Interfaces 3 of 250 maximum Last Failover

39、 at: 18:03:38 UTC Nov 12 2004 This host: Primary - active Active time: 375 (sec) Interface outside (): Normal (Waiting) Interface inside (): Normal (Waiting) Interface dmz (): Normal (Waiting) Other host: Secondary Standby Ready Active time: 3795 (sec) Interface outside

40、(): Normal (Waiting) Interface inside (): Normal (Waiting) Interface dmz (): Normal (Waiting),failover mac address,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,failover mac address mif_name act_mac stn_mac,fw1(config)#,fw2(config)# failover mac address ethernt0 00a0.c989.e481 00a0.c969.c7f1 fw2(config)#

41、failover mac address ethernet1 00a0.c976.cde5 00a0.c922.9176,Enables you to configure a virtual MAC address for a security appliance failover pair.,Primaryfw1,Internet,.2,,,.1,.1,.2,Inside MAC address Act - 00a0.c976.cde5 Stby - 00a0.c922.9176,Outside MAC address Act - 00a0.c989.e

42、481 Stby - 00a0.c969.c7f1,基于LAN的故障恢復配置,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,主備模式A/S配置,負載均衡模式A/A配置,5.7.3 Active/Active Failover,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,Active/active failover 需要使用 contexts. 例如上圖, 每個防火墻均創(chuàng)建了2個context CTX1 CTX2 通過如同配置, 每一個防火墻擁有一個active context 和 standby context. Active context 處理流量 Standby context 在對等體防火墻中.,Active/Active Fai

43、lover,2,1,CTX1- Active,CTX2- Standby,CTX1- Standby,CTX2- Active,1,2,Traffic,Traffic,Unit B Active/Standby,Unit A Active/Standby,Active/Active Failover (Cont.),藍狐網(wǎng)絡(luò)技術(shù)培訓學校,在Failed的情況下, 單元A檢測到CTX1的outside接口e0出現(xiàn)故障 CTX1 被置為 failed 狀態(tài). 單元A擁有一個 failed 和 一個 standby context. 在單元B上, CTX1 變?yōu)?active. 單元B擁有兩個 ac

44、tive contexts. 兩個 active contexts 都處理流量. Failover can be context-based or unit-based.,2,CTX1- Active,CTX2- Active,e0,e3,e1,e4,e2,1,2,Traffic,Traffic,CTX2- Standby,e3,e4,e2,Unit B: Active/Active,Unit A: Failed/Standby,CTX1- Failed,e1,e0,1,配置failover連接,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,fw2(config)# interface ethernet2 fw2(c

45、onfig-if)# no shut fw2(config)# failover lan interface LANFAIL ethernet2 fw2(config)# failover interface ip LANFAIL standby fw2(config)# failover lan enable fw2(config)# failover link LANFAIL ethernet2 fw2(config)# failover lan key 1234567,CTX1- Group 1,CTX2- Grou

46、p 2,,e0,e1,CTX1- Group 1,CTX2- Group 2,,e0,e1,2,1,1,2,Failover Link,e2,e2,Failover Group,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,Active/active failover adds support for failover group. Failover is performed on a unit or group level. A group is comprised of one or more contexts. Each failover group contains s

47、eparate state machines to keep track of the group failover state.,fw2(config)# failover group 1 fw2(config-fover-group)# primary fw2(config)# failover group 2 fw2(config-fover-group)# secondary,CTX1- Group 1,CTX2- Group 2,,e0,e1,e2,CTX1- Group 1,CTX2- Group 2,,e0,e1,e2,2,1,1,2,Gr

48、oup 1,Primary,Secondary,安全環(huán)境配置,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,fw2(config)# context ctx1 fw2(config-ctx)# allocate-interface ethernet0 fw2(config-ctx)# allocate-interface ethernet1 fw2(config-ctx)# config-url flash:/ctx1.cfg fw2(config-ctx)# join-failover-group 1 fw2(config)# context ctx2 fw2(config-ctx)# allocate-inter

49、face ethernet3 fw2(config-ctx)# allocate-interface ethernet4 fw2(config-ctx)# config-url flash:/ctx2.cfg fw2(config-ctx)# join-failover-group 2,2,1,CTX1- Group 1,CTX2- Group 2,e0,e1,CTX1- Group 1,CTX2- Group 2,e0,e1,1,2,Associate interfaces and a group to a context,安全環(huán)境配置:配置端口,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,fw2(config)

50、# changeto context ctx1 fw2/ctx1(config)# interface ethernet0 fw2/ctx1(config-if)# ip address standby fw2/ctx1(config-if)# nameif outside fw2/ctx1(config-if)# exit fw2/ctx1(config)# interface ethernet1 fw2/ctx1(config-if)# ip address stand

51、by fw2/ctx1(config-if)# nameif inside fw2/ctx1(config-if)# exit,Context 1 Interface e0 IP address Standby Interface e1 IP Address Standby Context 2 Interface e3 IP address Standby Interface e4 IP address Standby 1

52、,CTX1- Group 1 Active,CTX2- Group 2 Standby,1,,,,,e0,e3,e1,e4,e2,,Show failover :part 1,藍狐網(wǎng)絡(luò)技術(shù)培訓學校,fx2# show failover Failover On Cable status: N/A - LAN-based failover enabled Failover unit Primary Failover LAN Interface: lanfail Ethernet2 (

53、up) Unit Poll frequency 15 seconds, holdtime 45 seconds Interface Poll frequency 15 seconds Interface Policy 1 Monitored Interfaces 4 of 250 maximum Group 1 last failover at: 15:54:49 UTC Dec 14 2004 Group 2 last failover at: 15:55:00 UTC Dec 14 2004,2,1,CTX1- Group 1 Active,CTX2- Group 2 Standby,192.168.1