PIX--failover

Failover

概述

Failover与我们前面学习的HSRP很像,都可以说是提供故障恢复的功能。

1.Active与Standby

  • 设备的健康状况是通过LAN-FO接口来监控的(类似于心跳线,也是通过一条线来连接两个PIX,实现状态监控、复制配置、状态转移);
  • 两个设备一个被配置为Primary设备,另一个作为Secondary设备(Primary和Secondary是一个物理概念);
  • 一个设备被选为Active(转发流量),另一个被选为Standby(等待、备份)。两个状态为逻辑概念;

如何成为Active?

当一台防火墙启动的时候,就开始了一个选举的进程(以下都是基于两台设备为健康状态)

  • 如果检测多一个正在协商的设备处于FO的另一端,此时Primary设备成为Active状态并转发数据,Secondary设备成为Standby状态,成为备份设备;
  • 如果检测到一个Active设备,自己转换为Standby状态;
  • 如果在FO的另一端没有检测到设备,自己成为Active状态;
  • 如果成为Active后,检测到FO另一端有Active设备,两台设备重新协商。

注:Primary、Secondary与Active、Standby的区分?

  • Primary、Secondary是物理概念,指的是物理设备本身在Failover中所处的角色;
  • Active、Standby是逻辑概念,指的是设备的状态,是否处于转发数据的状态;
  • Active状态不一定指的是Primary设备,也可以是Secondary设备,Standby状态同理。

2.如何切换

正常切换

Active设备出现故障时,处于Standby的设备(如果是健康的)将成为Active转发数据。

切换发生时

  • Standby设备在所有接口上继承原来Active设备的属性(IP和MAC);
  • 但是,FO一台口上的地址保持不变。

3.管理

  • 只需在Active设备上进行配置即可;active设备上的配置都会自动被复制到Standby设备上;
  • 通过Standby设备的standby IP可以对此设备进行基本的监控和管理

4.部署Failover设备的必要条件

硬件需求

  • 相同硬件型号;
  • 相同数量和类型的接口;
  • 相同类型的SSM模块;
  • 相同内存。

软件需求

  • 相同操作模式;
  • 相同主板和子版本。

授权需求

  • 不必一样的授权,只需FO授权即可。

5.部署方式

注:是针对FO接口来说的

无状态化FO

  • 仅仅只是普通的硬件冗余而已;
  • 当故障切换发生时,所有已经建立的连接中断,必须重新连接。

状态化FO

  • 提供更加强大的冗余---状态会话表项的冗余;
  • 故障切换时,连接依旧保持;用户不必重新连接;
  • 两个设备之间需要提供一个状态换链路(LAN-FO之外的其他链路)

6.接口类型

  • LAN-FO接口:确定每一个设备的运行状态并复制和同步配置;
  • LAN-FO接口(状态化接口):传递状态信息到Standby设备,可以是一个独立接口,也可以和其他接口共享,包括FO接口,但是不推荐,一般为独立接口。

7.健康监控

单元(即设备)健康监控

  • 通过监控FO链路来确认其他单元的健康状况;
  • 设备通过FO接口来交换Hello消息;
  • 当收不到来自与Active设备的响应时,切换发生。

接口健康监控

  • 每个网络接口都可以被监控;
  • 设备通过控制接口交换Hello消息
  • 当Active设备上一个被指定为监控的接口出现故障时,切换发生。

8.部署方针

部署FO接口时,考虑如下的部署方针

  • 可以使用密钥来保护FO通讯
  • 如果状态化链路和FO链路共享接口,需要使用一个可用的高速率接口,最好不要让 状态化链路和普通数据接口共享一个物理接口;
  • 调整FO的各项参数来实现快速切换
  • 在Active和standby设备上手动置顶MAC地址,来阻止一些可能阻断网络流量的偶然事件
  • 在所有连接防火墙设备的交换机接口上,考虑配置快速端口(PortFast)。

注:如果FO接口坏掉,那么Failover将不能实现故障恢复的功能,FO相当于整个Failover的心脏,具有不可替代的作用。

配置实例

一.实验目的

  • 了解Failover的原理、作用及使用;
  • 掌握Failover的状态化和无状态化的区别;
  • 理解并掌握Failover的LAN-FO接口的类型(两种状态)及其重要性;
  • 掌握Faiover的配置。

二.实验拓扑

如上:通过规划、配置,用两台PIX实现故障恢复功能。保证一台设备出问题之后另一台设备能继续工作。其中R1为Inside设备,R2为Outside设备

三.实验步骤

  • 无状态化

1.区域设备基本配置


-----------------------------------------R1配置-----------------------------------

R1(config)#inter fa0/0

R1(config-if)#ip add 192.168.1.1  255.255.255.0

R1(config-if)#no shut

R1(config-if)#full-duplex

R1(config-if)#exit

R1(config)#ip route 0.0.0.0 0.0.0.0  192.168.1.253

<指默认路由到PIX>

-----------------------------------------R2配置-----------------------------------

R2(config)#inter fa0/0

R2(config-if)#ip add 202.100.1.1  255.255.255.0

R2(config-if)#no shut

R2(config-if)#fu

R2(config-if)#full-duplex

R2(config-if)#exit

2.Primary设备配置


--------------------------------------------接口初始化配置----------------------------------

PIX1(config)# inter e0

PIX1(config-if)# nameif inside

PIX1(config-if)# ip add 192.168.1.253  255.255.255.0 standby 192.168.1.254

<配置主地址和Standby地址>

PIX1(config-if)# no shut

PIX1(config-if)# exit

<内部接口配置,默认级别为100>

PIX1(config)# inter e1

PIX1(config-if)# nameif outside

PIX1(config-if)# ip add 202.100.1.253  255.255.255.0 standby 202.100.1.254

PIX1(config-if)# no shut

PIX1(config-if)# exit

<外部接口配置,默认级别为0>

-----------------------------------------------配置FO---------------------

PIX1(config)# inter e2

PIX1(config-if)# no shut

PIX1(config-if)# exit

<启用接口>

PIX1(config)# failover lan unit primary

<把本设备指定为Primary设备>

PIX1(config)# failover lan interface FO  e2

<指定接口E2为FO链路,接口名为FO,此配置要敲2遍才能生效>

INFO: Non-failover interface config is  cleared on Ethernet2 and its sub-interfaces

PIX1(config)# failover lan interface FO  e2

PIX1(config)# failover key cisco

<设置FO之间传输的加密密钥>

PIX1(config)# failover interface ip FO  172.16.1.1 255.255.255.0 standby 172.16.1.2

<设置FO链路两端的IP地址>

PIX1(config)# failover

<启用Failover>

Secondary配置


PIX2(config)# inter e2

PIX2(config-if)# no shut

PIX2(config-if)# exit

PIX2(config)# failover lan unit secondary

PIX2(config)# failover lan interface FO  e2

INFO: Non-failover interface config is  cleared on Ethernet2 and its sub-interfaces

PIX2(config)# failover lan interface FO  e2

PIX2(config)# failover key cisco

PIX2(config)# failover interface ip FO  172.16.1.1 255.255.255.0 standby 172.16.2

PIX2(config)# failover

配置完成后,两台设备开始协商选择Active,并同步配置


State check detected an Active mate

Beginning configuration replication from  mate.

End configuration replication from mate.

<点击回车完成>

此时,无状态的failover已经完成。PIX2同步PIX1的配置后,自己主机名也成为PIX1,并复制所有PIX1的配置到自己。

查看PIX状态


---------------------------------------查看PIX1状态--------------------

PIX1(config)# show failover

Failover  On

Cable status: N/A - LAN-based failover  enabled

Failover  unit Primary

Failover LAN Interface: FO Ethernet2 (up)

Unit Poll frequency 15 seconds, holdtime  45 seconds

Interface Poll frequency 5 seconds,  holdtime 25 seconds

Interface Policy 1

Monitored Interfaces 2 of 250 maximum

Version: Ours 7.2(2), Mate 7.2(2)

Last Failover at: 06:42:20 UTC Apr 8 2015

This host: Primary - Active

Active time: 405 (sec)

  Interface inside (192.168.1.253): Normal

                  Interface outside  (202.100.1.253): Unknown (Waiting)

 Other  host: Secondary - Standby Ready

Active time: 120 (sec)

   Interface inside (192.168.1.254): Normal

                  Interface outside  (202.100.1.254): Unknown (Waiting)

Stateful Failover Logical Update  Statistics

Link : Unconfigured.

-------------------------------------------------查看PIX2状态---------------------------

PIX1(config)# show failover

Failover  On

Cable status: N/A - LAN-based failover  enabled

Failover  unit Secondary

Failover LAN Interface: FO Ethernet2 (up)

Unit Poll frequency 15 seconds, holdtime  45 seconds

Interface Poll frequency 5 seconds,  holdtime 25 seconds

Interface Policy 1

Monitored Interfaces 2 of 250 maximum

Version: Ours 7.2(2), Mate 7.2(2)

Last Failover at: 06:44:35 UTC Apr 8 2015

This host: Secondary - Standby Ready

Active time: 120 (sec)

   Interface inside (192.168.1.254): Normal

                  Interface outside  (202.100.1.254): Unknown (Waiting)

  Other  host: Primary - Active

Active time: 480 (sec)

Interface  inside (192.168.1.253): Normal

                  Interface outside  (202.100.1.253): Unknown (Waiting)

Stateful Failover Logical Update  Statistics

Link : Unconfigured.

<虽然PIX2的主机名变为了PIX1,但是根据状态我们还是能区分出来的>

验证无状态化连接

用R1telnet连接R2


R2(config)#lin vty 0 4

R2(config-line)#password gyh

R2(config-line)#login

R2(config-line)#exit

R1#telnet 202.100.1.1

Trying 202.100.1.1 ... Open

User Access Verification

Password:

R2>

<连接成功>

--------------------------------------------将R3-SW的fa1/1接口down------------------------------

R3-SW(config)#inter fa1/1

R3-SW(config-if)#shut

R3-SW(config-if)#

*Mar   1 01:20:49.651: %LINK-5-CHANGED: Interface FastEthernet1/1, changed  state to administratively down

*Mar   1 01:20:50.651: %LINEPROTO-5-UPDOWN: Line protocol on Interface  FastEthernet1/1, changed state to down

--------------------------------------------查看R1的telnet连接状况--------------------------------

R2>

[Connection to 202.100.1.1 closed by  foreign host]

<连接直接中断>

----------------------------------------------查看PIX状态------------------------

PIX1(config)#

Switching to Standby

PIX1(config)#

Switching to Active

<PIX1变为standby,PIX2变为Active>

PIX1(config)# show failover

Failover  On

Cable status: N/A - LAN-based failover  enabled

Failover  unit Primary

Failover LAN Interface: FO Ethernet2 (up)

Unit Poll frequency 15 seconds, holdtime  45 seconds

Interface Poll frequency 5 seconds,  holdtime 25 seconds

Interface Policy 1

Monitored Interfaces 2 of 250 maximum

Version: Ours 7.2(2), Mate 7.2(2)

Last Failover at: 08:05:36 UTC Apr 8 2015

 This  host: Primary - Failed

Active time: 2595 (sec)

    Interface inside (192.168.1.254): Failed  (Waiting)

                  Interface outside  (202.100.1.254): Normal

    Other host: Secondary - Active

Active time: 2340 (sec)

   Interface inside (192.168.1.253): Normal  (Waiting)

                  Interface outside  (202.100.1.253): Normal

 

Stateful Failover Logical Update  Statistics

Link : Unconfigured.

PIX1(config)# show failover

Failover  On

Cable status: N/A - LAN-based failover  enabled

Failover  unit Secondary

Failover LAN Interface: FO Ethernet2 (up)

Unit Poll frequency 15 seconds, holdtime  45 seconds

Interface Poll frequency 5 seconds,  holdtime 25 seconds

Interface Policy 1

Monitored Interfaces 2 of 250 maximum

Version: Ours 7.2(2), Mate 7.2(2)

Last Failover at: 08:07:57 UTC Apr 8 2015

This host: Secondary - Active

Active time: 2355 (sec)

       Interface inside (192.168.1.253): Normal  (Waiting)

                  Interface outside  (202.100.1.253): Normal

        Other host: Primary - Failed

Active time: 2595 (sec)

         Interface inside (192.168.1.254):  Failed (Waiting)

                  Interface outside  (202.100.1.254): Normal

Stateful Failover Logical Update  Statistics

Link : Unconfigured.

<PIX1变为standby,PIX2变为Active>
  • 状态化

本实验在无状态化实验的基础上进行。

恢复正常的网络,开启R3-SW的fa1/1接口


R3-SW(config-if)#inter fa1/1

R3-SW(config-if)#no shut

*Mar   1 01:25:17.023: %LINEPROTO-5-UPDOWN: Line protocol on Interface  FastEthernet1/1, changed state to up

手动让PIX1恢复为active状态


PIX1(config)# failover active

Switching to Active

<FO不支持自动抢占Active的功能,所以需手动配置>

PIX1(config)# show failover

Failover  On

Cable status: N/A - LAN-based failover  enabled

Failover  unit Primary

Failover LAN Interface: FO Ethernet2 (up)

Unit Poll frequency 15 seconds, holdtime  45 seconds

Interface Poll frequency 5 seconds,  holdtime 25 seconds

Interface Policy 1

Monitored Interfaces 2 of 250 maximum

Version: Ours 7.2(2), Mate 7.2(2)

Last Failover at: 08:09:10 UTC Apr 8 2015

   This  host: Primary - Active

Active time: 2595 (sec)

                  Interface inside  (192.168.1.253): Normal (Waiting)

                  Interface outside  (202.100.1.253): Normal (Waiting)

        Other host: Secondary - Standby Ready  

Active time: 2475 (sec)

        Interface inside (192.168.1.254):  Normal (Waiting)

                  Interface outside  (202.100.1.254): Normal (Waiting)

 

Stateful Failover Logical Update  Statistics

Link : Unconfigured.

设置LAN-FO(状态化)接口

第一种情况:

把LAN-FO接口设置成stateful接口


PIX1(config)# failover  link FO e2

R1 telnet上R2


R1#telnet 202.100.1.1

Trying 202.100.1.1 ... Open

User Access Verification

Password:

R2>

关闭R3-SW的fa1/1接口


R3-SW(config-if)#inter fa1/1

R3-SW(config-if)#shut

*Mar   1 01:33:16.495: %LINK-5-CHANGED: Interface FastEthernet1/1, changed  state to administratively down

*Mar   1 01:33:17.495: %LINEPROTO-5-UPDOWN: Line protocol on Interface  FastEthernet1/1, changed state to down

查看设备的Failover状态


PIX1(config)# show failover

Failover  On

Cable status: N/A - LAN-based failover  enabled

Failover  unit Primary

Failover LAN Interface: FO Ethernet2 (up)

Unit Poll frequency 15 seconds, holdtime  45 seconds

Interface Poll frequency 5 seconds,  holdtime 25 seconds

Interface Policy 1

Monitored Interfaces 2 of 250 maximum

Version: Ours 7.2(2), Mate 7.2(2)

Last Failover at: 08:46:42 UTC Apr 8 2015

  This  host: Primary - Failed

Active time: 75 (sec)

 Interface inside (192.168.1.254): Failed  (Waiting)

                  Interface outside  (202.100.1.254): Normal

Other host: Secondary - Active

Active time: 180 (sec)

  Interface inside (192.168.1.253): Normal  (Waiting)

                  Interface outside  (202.100.1.253): Normal

Stateful Failover Logical Update  Statistics

Link : FO Ethernet2 (up)

Stateful Obj    xmit       xerr       rcv        rerr

General         37         0          36         0

sys cmd         33         0          33         0

up time         0          0          0          0

RPC services    0          0          0          0

TCP conn        2          0          3          0

UDP conn        0          0          0          0

ARP tbl         2          0          0          0

Xlate_Timeout   0          0          0          0

VPN IKE upd     0          0          0          0

VPN IPSEC upd   0          0          0          0

VPN CTCP upd    0          0          0          0

VPN SDI upd     0          0          0          0

VPN DHCP upd    0          0          0          0

Logical Update Queue Information

Cur     Max      Total

Recv Q:         0       1        229

Xmit Q:         0       2        94

在R1上回车,看连接R2的状态是否中断


R2>

R2>

R2>

R2>

R2>

<连接正常>

注:把stateful与FO接口设置成一条链路是我们不推荐的,所以,尽管这种方法可行,一般不使用。

第二种情况:

另接一条线,设置成stateful接口(FO链路与stateful链路分开)


PIX1(config)# inter e3

PIX1(config-if)# no shut

PIX1(config)# failover link stateful e3

<注:使用此命令时,会报ERROR: No change to the stateful interface的错误,但是命令依然可以起到作用,可以show run查看。这是模拟器的问题。请继续试验。>

PIX1(config)# failover interface ip  stateful 172.16.10.10 255.255.255.0 standby 172.16.10.11

验证

R1 telnet上R2


R1#telnet 202.100.1.1

Trying 202.100.1.1 ... Open

User Access Verification

Password:

R2>

关闭R3-SW的fa1/1接口


R3-SW(config-if)#inter fa1/1

R3-SW(config-if)#shut

*Mar   1 01:33:16.495: %LINK-5-CHANGED: Interface FastEthernet1/1, changed  state to administratively down

*Mar   1 01:33:17.495: %LINEPROTO-5-UPDOWN: Line protocol on Interface  FastEthernet1/1, changed state to down

查看设备的Failover状态


PIX1(config)# show failover

Failover  On

Cable status: N/A - LAN-based failover  enabled

Failover  unit Primary

Failover LAN Interface: FO Ethernet2 (up)

Unit Poll frequency 15 seconds, holdtime  45 seconds

Interface Poll frequency 5 seconds,  holdtime 25 seconds

Interface Policy 1

Monitored Interfaces 2 of 250 maximum

Version: Ours 7.2(2), Mate 7.2(2)

Last Failover at: 08:46:42 UTC Apr 8 2015

  This  host: Primary - Failed

Active time: 75 (sec)

 Interface inside (192.168.1.254): Failed  (Waiting)

                  Interface outside  (202.100.1.254): Normal

Other host: Secondary - Active

Active time: 180 (sec)

  Interface inside (192.168.1.253): Normal  (Waiting)

                  Interface outside  (202.100.1.253): Normal

Stateful Failover Logical Update  Statistics

Link : FO Ethernet2 (up)

Stateful Obj    xmit       xerr       rcv        rerr

General         37         0          36         0

sys cmd         33         0          33         0

up time         0          0          0          0

RPC services    0          0          0          0

TCP conn        2          0          3           0

UDP conn        0          0          0          0

ARP tbl         2          0          0          0

Xlate_Timeout   0          0          0          0

VPN IKE upd     0          0          0          0

VPN IPSEC upd   0          0          0          0

VPN CTCP upd    0          0          0          0

VPN SDI upd     0          0          0          0

VPN DHCP upd    0          0          0          0

Logical Update Queue Information

Cur     Max      Total

Recv Q:         0       1        229

Xmit Q:         0       2        94

在R1上回车,看连接R2的状态是否中断


R2>

R2>

R2>

R2>

R2>

<连接正常>
时间: 2024-12-03 02:17:26

PIX--failover的相关文章

cisco PIX防火墙 基本命令配置及详解

企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色.防火墙通常位于企业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络.设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理. 在众多的企业级主流防火墙中,Cisco PIX防火墙是所有同类产品性能最好的一种.Cisco PIX系列防火墙目前有5种型号PIX506,515,520,525,535.其中PIX535是PIX

[原创翻译]PIX/ASA的数据包捕获

使用指南 启用数据包捕获, 要在一个接口上附带接口选项关键字来捕获.捕获多个接口需要多个捕获语句.数据包必须通过以太网和访问列表过滤之后数据包才能存储在捕获缓冲区. 有用的捕获命令: no capture 命令并附带 access-list 或 interface 可选关键字将清除相应的捕获. no capture 而不带可选关键字将删除捕获. 如果指定 access-list 可选关键字,将从捕获中删除访问列表并保留捕获.如果指定 interface 关键字,将从指定的接口分离捕获并保留捕获.

PIX防火墙基本特性:失效处理机制和冗余-原理与实验

(1)术语 (2)基本过程 Step 1:活动单元将它的所有配置复制给备用单元,命令通过失效处理机制电缆发送 Step 2:每隔15秒发送一个专用的Hello分组 Step 3:备用单元在规定时间内没有收到两个连续的Hello分组 Step 4:将活动控制转移到备用单元,同时失效处理机制通过各种测试来测试接口 (3)实验 注意:做该实验前要在PIX防火墙上导入激活码 这里R2作为Internet 第一步:R1.R2配置(略) 第二步:FW1配置访问Internet 第三步:FW1-Failove

pix实验指南

PIX实验指南 一. PIX的基本使用 拓扑图 需求 PIX采用三向外围结构,DMZ区域采用静态IP,inside区域采用DHCP方式获取IP,PIX充当DHCP服务器,Client需要采用PAT方式访问互联网,Client访问内部服务器采用直接路由的方式,192.168.2.80服务器需要对外发布到TCP80端口,并拒绝外部到outside接口的任何ICMP通信,内部inside到DMZ和互联网可以采用ICMP测试联通性. 配置 PIX Version 7.2(1) ! hostname pi

oracle11g dataguard failover重建后归档日志没有被应用被NO的问题

1,主库从库归档记录不一致,如下所示: 做完failover后,坏的旧主库变成了新的从库,但是新从库的归档日志记录不一致,就是archive log list;出来的和v$archived_log出来对不上号,如下所示: 1.1 主库: SQL> archive log list; Database log mode Archive Mode Automatic archival Enabled Archive destination USE_DB_RECOVERY_FILE_DEST Olde

ASA failover应用

failover的条件: 1.硬件型号必须相同 2.系统版本必须一致 3.模式必须一致 4.相同的许可和许可的数量 步骤: step 1:配置failover interface,确保状态 up LZ-CNC-UTM(config)# failover lan interface Beat g2 step 2:配置设备为Active角色 LZ-CNC-UTM(config)# failover lan unit primary step 3:配置failover link LZ-CNC-UTM(

redis的sentinel主从切换(failover)与Jedis线程池自动重连

本文介绍如何通过sentinel监控redis主从集群,并通过jedis自动切换ip和端口. 1.配置redis主从实例 10.93.21.21:6379 10.93.21.21:6389 10.93.21.21:6399 主从同步关系 master:10.93.21.21:6379 slave:10.93.21.21:6389,10.93.21.21:6399 master配置如下: # 实例ip和端口 bind 10.93.21.21 port 6379 # pid文件 pidfile re

resource manager因为CapacityScheduler的NPE异常退出,引起failover切换

一.问题描述 yarn2.0发生resource manager down(master2)掉,并引起resource manager的failover切换 二.问题分析 1)看master2上resource manager的日志 2016-06-26 12:35:41,504 INFO org.apache.hadoop.yarn.server.resourcemanager.RMAuditLogger: USER=warehouse        OPERATION=AM Released

Oracle RAC Failover 详解

Oracle  RAC 同时具备HA(High Availiablity) 和LB(LoadBalance). 而其高可用性的基础就是Failover(故障转移). 它指集群中任何一个节点的故障都不会影响用户的使用,连接到故障节点的用户会被自动转移到健康节点,从用户感受而言, 是感觉不到这种切换. Oracle 10g RAC 的Failover 可以分为3种: 1. Client-Side Connect time Failover 2. TAF 3. Service-Side TAF 注意事

mysql router 自动failover测试

[[email protected] bin]# cat /etc/mysqlrouter/mysqlrouter.ini [DEFAULT]#mkdir -p /var/log/mysql-router logging_folder = /var/log/mysql-router plugin_folder = /usr/local/mysql-router/lib/mysqlrouter runtime_folder = /usr/local/mysql-router [logger] #