第五课故障切换精选文档.ppt

第五课故障切换第五课故障切换本讲稿第一页，共六十七页第五章：故障恢复第五章：故障恢复蓝狐网络技术培训学校蓝狐网络技术培训学校故障恢复产生背景故障恢复产生背景故障恢复功能简介故障恢复功能简介故障恢复技术特点故障恢复技术特点故障恢复组网应用故障恢复组网应用故障恢复详细配置故障恢复详细配置本讲稿第二页，共六十七页5.1 5.1 故障恢复产生背景故障恢复产生背景在当今网络中，用户对一些重要在当今网络中，用户对一些重要业务入口或接入点的可靠性要求业务入口或接入点的可靠性要求越来越高，如何保证网络避免单越来越高，如何保证网络避免单点故障，保证网络的不间断传输，点故障，保证网络的不间断传输，成为网络急需解决的一个问题成为网络急需解决的一个问题蓝狐网络技术培训学校蓝狐网络技术培训学校本讲稿第三页，共六十七页5.1 5.1 故障恢复产生背景故障恢复产生背景传统备份组网方案适用于接入点是路由器等转发设备的情况。因为经过设备的每个报文传统备份组网方案适用于接入点是路由器等转发设备的情况。因为经过设备的每个报文都是查找转发表进行转发，链路切换后，后续报文的转发不受影响。都是查找转发表进行转发，链路切换后，后续报文的转发不受影响。但是当接入点是状态防火墙等设备时，由于状态防火墙是基于连接状态的，当但是当接入点是状态防火墙等设备时，由于状态防火墙是基于连接状态的，当用户发起会话时，状态防火墙只会对会话的首包进行检查，如果首包允许通过用户发起会话时，状态防火墙只会对会话的首包进行检查，如果首包允许通过则会建立一个会话表项（表项里包括源则会建立一个会话表项（表项里包括源IPIP、源端口、目的、源端口、目的IPIP、目的端口等信息），、目的端口等信息），只有匹配该会话表项的后续报文（包括返回报文）才能够通过防火墙。如果链路切换后，只有匹配该会话表项的后续报文（包括返回报文）才能够通过防火墙。如果链路切换后，后续报文找不到正确的表项，会导致当前业务中断。后续报文找不到正确的表项，会导致当前业务中断。蓝狐网络技术培训学校蓝狐网络技术培训学校本讲稿第四页，共六十七页故障恢复故障恢复蓝狐网络技术培训学校蓝狐网络技术培训学校故障恢复产生背景故障恢复产生背景故障恢复功能简介故障恢复功能简介故障恢复技术特点故障恢复技术特点故障恢复组网应用故障恢复组网应用故障恢复详细配置故障恢复详细配置本讲稿第五页，共六十七页蓝狐网络技术培训学校蓝狐网络技术培训学校192.168.2.210.0.2.1Primary:ActiveSecurity ApplianceInternet10.0.2.7192.168.2.7Secondary:StandbySecurity ApplianceSerialCable failoverfailover功能简介功能简介l安全设备支持两种故障恢复类型：常规故障恢复和状态故障恢复安全设备支持两种故障恢复类型：常规故障恢复和状态故障恢复Hardware failoverHardware failoverStateful failoverStateful failover本讲稿第六页，共六十七页5.2 5.2 故障恢复简介故障恢复简介l安全设备支持两种故障恢复类型：常规故障恢复和状态故障恢复安全设备支持两种故障恢复类型：常规故障恢复和状态故障恢复Hardware failoverHardware failover连接都被丢弃连接都被丢弃.客户端应用程序必须重新连接客户端应用程序必须重新连接提供硬件冗余提供硬件冗余提供提供serial-basedserial-based或者或者LAN-based failoverLAN-based failoverStateful failoverStateful failoverTCPTCP连接保持活跃状态连接保持活跃状态客户端应用程序不需要重新连接客户端应用程序不需要重新连接.提供冗余和状态连接提供冗余和状态连接通过通过 stateful link.stateful link.提供提供蓝狐网络技术培训学校蓝狐网络技术培训学校本讲稿第七页，共六十七页5.2 5.2 故障恢复简介故障恢复简介状态链路接口用于传递从主动单元到备用单元所有已经建立连接的状态。在每一个状态状态链路接口用于传递从主动单元到备用单元所有已经建立连接的状态。在每一个状态故障恢复设置中，传递到备用单元的信息包含如下内容故障恢复设置中，传递到备用单元的信息包含如下内容蓝狐网络技术培训学校蓝狐网络技术培训学校NATNAT的转换表的转换表TCPTCP连接连接UDPUDP的连接状态的连接状态ARPARP条目条目在透明防火墙模式运行下的第在透明防火墙模式运行下的第2 2层桥接表层桥接表HTTPHTTP链路状态（如启用链路状态（如启用HTTPHTTP复制）复制）InternetInternet安全关联和密钥管理协议（安全关联和密钥管理协议（ISAKMPISAKMP）IPSEC IPSEC 的的SASA服务表服务表本讲稿第八页，共六十七页故障恢复故障恢复蓝狐网络技术培训学校蓝狐网络技术培训学校故障恢复产生背景故障恢复产生背景故障恢复功能简介故障恢复功能简介故障恢复技术特点故障恢复技术特点故障恢复组网应用故障恢复组网应用故障恢复详细配置故障恢复详细配置本讲稿第九页，共六十七页故障恢复技术特点故障恢复技术特点蓝狐网络技术培训学校蓝狐网络技术培训学校故障恢复设备要求故障恢复设备要求故障恢复工作方式故障恢复工作方式故障恢复工作模式故障恢复工作模式故障恢复健康监测故障恢复健康监测本讲稿第十页，共六十七页5.3 5.3 故障恢复设备要求故障恢复设备要求故障恢复对其中的两个安全设备必须完全相同，并且通过专用故障恢故障恢复对其中的两个安全设备必须完全相同，并且通过专用故障恢复链路（接口）连接。若启用安全设备上的故障恢复特性，则设备需复链路（接口）连接。若启用安全设备上的故障恢复特性，则设备需要满足下列条件：要满足下列条件：蓝狐网络技术培训学校蓝狐网络技术培训学校具有相同数量的模块和硬件配置；具有相同数量的模块和硬件配置；具有相同的接口号和类型；具有相同的接口号和类型；具有相同的内存容量和具有相同的内存容量和RAMRAM容量；容量；处于相同的操作模式（路由或透明，单一或多环境）；处于相同的操作模式（路由或透明，单一或多环境）；具有相同的软件版本；具有相同的软件版本；(主、次版本必须一致主、次版本必须一致)具有相同的特性具有相同的特性：（DESDES或或3DES3DES）;合适的合适的licensinglicensing本讲稿第十一页，共六十七页故障恢复技术特点故障恢复技术特点蓝狐网络技术培训学校蓝狐网络技术培训学校故障恢复设备要求故障恢复设备要求故障恢复工作方式故障恢复工作方式故障恢复工作模式故障恢复工作模式故障恢复健康监测故障恢复健康监测本讲稿第十二页，共六十七页故障恢复工作方式故障恢复工作方式蓝狐网络技术培训学校蓝狐网络技术培训学校基于基于cablecable的工作方式的工作方式基于基于LANLAN的工作方式的工作方式本讲稿第十三页，共六十七页5.4 5.4 故障恢复链路类型故障恢复链路类型 蓝狐网络技术培训学校蓝狐网络技术培训学校Cable-BasedSecondary Security AppliancePrimary Security Appliance192.168.0.0/24.1e0e010.0.0.0/24e1e1.11InternetCable-BasedLAN-Basede2e2LAN-Basede3e3StatefulLinkStateful本讲稿第十四页，共六十七页5.4.1 5.4.1 故障恢复链路类型故障恢复链路类型串行电缆的故障恢复链路（仅串行电缆的故障恢复链路（仅PIX 500PIX 500系列支持）：系列支持）：蓝狐网络技术培训学校蓝狐网络技术培训学校 此电缆是一个专用串行电缆，能提供较快的收敛。安全设备可以此电缆是一个专用串行电缆，能提供较快的收敛。安全设备可以感知对等体单元的功率损耗。感知对等体单元的功率损耗。故障切换中的两个单元通过故障切换电缆连通故障切换中的两个单元通过故障切换电缆连通.故障切换电缆是一个改良长故障切换电缆是一个改良长6 6英尺的英尺的RS-232RS-232系列链路电缆系列链路电缆,以以115kbit/s115kbit/s的速度传输数据的速度传输数据 故障切换电缆每端都有标签故障切换电缆每端都有标签,一端标为一端标为”主要主要”,应该连接到主要单元应该连接到主要单元.另另一端则标为一端则标为”辅助辅助”连接到辅助单元连接到辅助单元.对备用单元的改变永远不会复制到活对备用单元的改变永远不会复制到活跃单元跃单元.本讲稿第十五页，共六十七页5.4.2 5.4.2 基于基于cablecable的工作方式的工作方式 蓝狐网络技术培训学校蓝狐网络技术培训学校PrimarySecurity ApplianceSecondarySecurity AppliancePrimaryLabeled ConnectorSecondaryLabeled Connector基于基于Cable:Cable:专用的线缆，仅限于专用的线缆，仅限于PIX,ASAPIX,ASA没有；没有；专用的专用的CableCable线能快速检测对等体电源失效；线能快速检测对等体电源失效；备份设备不用配置，不用占有以太接口；备份设备不用配置，不用占有以太接口；主备关系由电缆决定；主备关系由电缆决定；PrimaryPrimary和和SecondarySecondary；备份设备不需要任何配置，通电即可备份设备不需要任何配置，通电即可距离限制距离限制,Cable,Cable线只有线只有6feet6feet；拷贝速度慢，拷贝速度慢，115kb/s115kb/s；本讲稿第十六页，共六十七页故障恢复工作方式故障恢复工作方式蓝狐网络技术培训学校蓝狐网络技术培训学校基于基于cablecable的工作方式的工作方式基于基于LANLAN的工作方式的工作方式本讲稿第十七页，共六十七页 5.4.1 5.4.1 故障恢复链路类型故障恢复链路类型l基于基于LANLAN的故障恢复链路：的故障恢复链路：Statful failoverStatful failover线：线：蓝狐网络技术培训学校蓝狐网络技术培训学校.使用以太网接口来做故障恢复，它应该使用一个专用交换机或放进使用以太网接口来做故障恢复，它应该使用一个专用交换机或放进 一一 个专用个专用VLAN,VLAN,或使用一个交叉以太网电缆连接或使用一个交叉以太网电缆连接.优点是单元的物理距离可以大于优点是单元的物理距离可以大于6 6英尺，而且具有更快的传输复制速度，英尺，而且具有更快的传输复制速度，缺点是收敛较慢；安全设备不能立即检测对方的功率损耗缺点是收敛较慢；安全设备不能立即检测对方的功率损耗.时刻传递状态信息从主到次；如时刻传递状态信息从主到次；如connconn、xlatexlate等信息；等信息；.接该线的接口必须大于等于用户数据接口的速率（接该线的接口必须大于等于用户数据接口的速率（insideinside、outsideoutside接口）；接口）；本讲稿第十八页，共六十七页5.4.3 5.4.3 基于基于LANLAN的工作方式的工作方式 蓝狐网络技术培训学校蓝狐网络技术培训学校Primary activeSecondary standbyE4E3internet本讲稿第十九页，共六十七页5.4.3 5.4.3 基于基于LANLAN的工作方式的工作方式l基于基于LANLAN:使用以太网互联传递使用以太网互联传递FOFO信息：配置信息等；信息：配置信息等；为了为了FOFO线是活动的，需要在线是活动的，需要在FWFW间加交换机；禁用交换机的间加交换机；禁用交换机的DTPDTP、PagpPagp等协等协议，手工配置议，手工配置accessaccess、portfastportfast等；等；切换时，切换时，FailoverFailover线不交换线不交换IPIP、mac;mac;距离不受限制；距离不受限制；SWSW单点故障；单点故障；如果没有距离限制的话，也可以直接用以太网交叉线将两个防火墙直连如果没有距离限制的话，也可以直接用以太网交叉线将两个防火墙直连蓝狐网络技术培训学校蓝狐网络技术培训学校本讲稿第二十页，共六十七页故障恢复技术特点故障恢复技术特点蓝狐网络技术培训学校蓝狐网络技术培训学校故障恢复设备要求故障恢复设备要求故障恢复工作方式故障恢复工作方式故障恢复工作模式故障恢复工作模式故障恢复健康监测故障恢复健康监测本讲稿第二十一页，共六十七页故障恢复工作模式故障恢复工作模式蓝狐网络技术培训学校蓝狐网络技术培训学校主备模式主备模式A/SA/S负载均衡模式负载均衡模式A/AA/A本讲稿第二十二页，共六十七页5.5.15.5.1主备模式主备模式:Active/Standby:Active/Standby 蓝狐网络技术培训学校蓝狐网络技术培训学校Primary:ActiveInternetSecondary:StandbyFailover:Active/StandbyPrimary:FailedInternetSecondary:ActiveFailover:Active/Standby本讲稿第二十三页，共六十七页主备模式主备模式A/SA/S主备模式下的两台防火墙，其中一台作为主设备，另一台作为备份设备。主设备处主备模式下的两台防火墙，其中一台作为主设备，另一台作为备份设备。主设备处理所有业务，并将产生的会话信息传送到备份设备进行备份；备份设备不处理业务，理所有业务，并将产生的会话信息传送到备份设备进行备份；备份设备不处理业务，只用做备份只用做备份蓝狐网络技术培训学校蓝狐网络技术培训学校本讲稿第二十四页，共六十七页故障恢复工作模式故障恢复工作模式蓝狐网络技术培训学校蓝狐网络技术培训学校主备模式主备模式A/SA/S负载均衡模式负载均衡模式A/AA/A本讲稿第二十五页，共六十七页5.5.2 5.5.2 负载均衡模式负载均衡模式:Active/Active:Active/Active 蓝狐网络技术培训学校蓝狐网络技术培训学校12Internet21Secondary:Primary:Internet221ContextsActive/StandbyStandby/Active1Secondary:Primary:Failed/StandbyActive/Active本讲稿第二十六页，共六十七页故障恢复技术特点故障恢复技术特点蓝狐网络技术培训学校蓝狐网络技术培训学校故障恢复设备要求故障恢复设备要求故障恢复工作方式故障恢复工作方式故障恢复工作模式故障恢复工作模式故障恢复健康监测故障恢复健康监测本讲稿第二十七页，共六十七页5.6.1 5.6.1 故障恢复健康监测故障恢复健康监测防火墙监控每一个安全单元的整体健康和端口健康，可以分为防火墙监控每一个安全单元的整体健康和端口健康，可以分为：单元健康监测单元健康监测 防火墙确定另外一个单元的健康是通过监测防火墙确定另外一个单元的健康是通过监测failoverfailover链路，当防火墙在链路，当防火墙在failoverfailover链路上连续三个链路上连续三个hellohello时间都没有收到对方的时间都没有收到对方的hellohello包时，它开始在单元所有端口发送包时，它开始在单元所有端口发送ARPARP请求。包括请求。包括failoverfailover端口。防火墙端口。防火墙依据从对等单元收到的回应执行相应的动作：依据从对等单元收到的回应执行相应的动作：蓝狐网络技术培训学校蓝狐网络技术培训学校 单元健康监测；单元健康监测；端口健康监测端口健康监测；本讲稿第二十八页，共六十七页5.6.1 5.6.1 单元健康监测单元健康监测如果防火墙在如果防火墙在 failoverfailover端口上收到一个响应，那么不会发生故障切换端口上收到一个响应，那么不会发生故障切换如果防火墙没有在如果防火墙没有在failoverfailover端口收到响应，但从其他端口收到响应，那么也不会发生故障切换。端口收到响应，但从其他端口收到响应，那么也不会发生故障切换。但但failover failover 链路被标记为链路被标记为FailedFailed。你应该尽快恢复。你应该尽快恢复failoverfailover链路。因为当链路。因为当failoverfailover链路出现故障时，链路出现故障时，并不会发生故障切换并不会发生故障切换如果防火墙在任何端口均没有收到回应，那么备份单元切换到如果防火墙在任何端口均没有收到回应，那么备份单元切换到activeactive模式，并标记其他单元为模式，并标记其他单元为FailedFailed 你可以调整你可以调整hellohello消息的周期时间和消息的周期时间和hlodtimehlodtime时间。更快的查询周期和更短的时间。更快的查询周期和更短的holdtimeholdtime时间能加速检测单元时间能加速检测单元故障。但也有可能在网络拥塞而导致故障。但也有可能在网络拥塞而导致hellohello包延迟时，产生假的故障消息包延迟时，产生假的故障消息蓝狐网络技术培训学校蓝狐网络技术培训学校本讲稿第二十九页，共六十七页5.6.2 5.6.2 端口健康监测端口健康监测当单元设备在监控端口超过一半的当单元设备在监控端口超过一半的holdtimeholdtime时间仍没有收到时间仍没有收到hellohello消息时，它运行下列的测消息时，它运行下列的测试检测端口健康试检测端口健康链路连接链路连接/关闭测试关闭测试:这是用来测试网络端口自己本身的这是用来测试网络端口自己本身的.如果一个端口网卡没有插入到网络如果一个端口网卡没有插入到网络,那么它被认为是有故障的那么它被认为是有故障的.例如例如,HUB,HUB或者交换机出现故障或者交换机出现故障,或者线缆没有被插入或者线缆没有被插入.如果这个如果这个测试没有发现任何问题测试没有发现任何问题,那么网络活动测试开始那么网络活动测试开始.网络活动测试网络活动测试:防火墙单元直到防火墙单元直到5 5秒钟时间内计算所有收到的分组秒钟时间内计算所有收到的分组.如果在此间隔如果在此间隔中的任何时间内收到任何分组中的任何时间内收到任何分组,接口被认为是在运行的接口被认为是在运行的.如果没有收到任何的流量如果没有收到任何的流量,开开始进行始进行ARPARP测试测试.蓝狐网络技术培训学校蓝狐网络技术培训学校本讲稿第三十页，共六十七页5.6.2 5.6.2 端口健康监测端口健康监测 ARPARP测试测试:ARP:ARP测试包括评估最近获得的测试包括评估最近获得的1010个防火墙单元的个防火墙单元的ARPARP缓存内的条目缓存内的条目.防火墙防火墙发送发送ARPARP请求到缓存中条目对应的设备请求到缓存中条目对应的设备,以试图触发网络流量以试图触发网络流量.在每以次请求之后在每以次请求之后,防火墙计算防火墙计算5 5秒时间内收到的流量秒时间内收到的流量,如果收到流量如果收到流量,端口被认为是运行的端口被认为是运行的,如果没有收到任如果没有收到任何流量何流量,ARP,ARP请求被发送到下一个机器请求被发送到下一个机器.如果到列表末尾还没有收到任何流量如果到列表末尾还没有收到任何流量,那么那么PINGPING测试开始测试开始.PINGPING测试测试:这个测试是由发送广播式这个测试是由发送广播式PINGPING请求组成的请求组成的.然后防火墙单元在然后防火墙单元在5 5秒中内计算秒中内计算所有接受到的分组所有接受到的分组.如果在次间隔内的任何时间接受到分组如果在次间隔内的任何时间接受到分组,接口被认为是在运行的接口被认为是在运行的.测试测试终止终止.如果没有接受到流量如果没有接受到流量.那么端口被认为出现了故障那么端口被认为出现了故障蓝狐网络技术培训学校蓝狐网络技术培训学校本讲稿第三十一页，共六十七页5.6.2 5.6.2 端口健康监测端口健康监测主和备份防火墙在主和备份防火墙在1515秒间隔内秒间隔内(默认情况下默认情况下),),通过向所有网络端口发送出特定的通过向所有网络端口发送出特定的failover failover hellohello包包,以确定一切都在正常工作以确定一切都在正常工作.当一个故障出现当一个故障出现,而故障并不是由断电所引起的时候而故障并不是由断电所引起的时候.failover.failover开始一系列的测试。这些开始一系列的测试。这些测试的目的是测试的目的是,产生网络流量以用来测试是哪个防火墙出现故障产生网络流量以用来测试是哪个防火墙出现故障.在每一个测试开始之前在每一个测试开始之前,每一个防火墙都会清除端口所有收到的数据包每一个防火墙都会清除端口所有收到的数据包.在每一个测试结束在每一个测试结束时时,每一个防火墙查看是否有收到的任何流量每一个防火墙查看是否有收到的任何流量.如果有如果有,那么端口被认为是运行的那么端口被认为是运行的.如如果一个防火墙收到了测试的流量果一个防火墙收到了测试的流量,而另外一个防火墙没有而另外一个防火墙没有,那么没有收到测试流量那么没有收到测试流量的防火墙被认为出现了故障的防火墙被认为出现了故障,如果都收到了流量如果都收到了流量 那么测试继续那么测试继续.蓝狐网络技术培训学校蓝狐网络技术培训学校本讲稿第三十二页，共六十七页故障恢复故障恢复蓝狐网络技术培训学校蓝狐网络技术培训学校故障恢复产生背景故障恢复产生背景故障恢复功能简介故障恢复功能简介故障恢复技术特点故障恢复技术特点故障恢复组网应用故障恢复组网应用故障恢复详细配置故障恢复详细配置本讲稿第三十三页，共六十七页故障恢复详细配置故障恢复详细配置蓝狐网络技术培训学校蓝狐网络技术培训学校基于基于CableCable故障恢复配置故障恢复配置基于基于LANLAN的故障恢复配置的故障恢复配置本讲稿第三十四页，共六十七页5.7.1串行线Active/Standby故障切换 蓝狐网络技术培训学校蓝狐网络技术培训学校192.168.2.210.0.2.1Primary:ActiveSecurity ApplianceInternetPrimary:FailedSecurity ApplianceInternet10.0.2.7192.168.2.7192.168.2.210.0.2.110.0.2.7192.168.2.7Secondary:ActiveSecurity ApplianceSecondary:StandbySecurity ApplianceFailoverSerialCableSerialCable本讲稿第三十五页，共六十七页步骤一：连接备份防火墙 蓝狐网络技术培训学校蓝狐网络技术培训学校Internet.7SecondarySecurity Appliance192.168.2.010.0.2.0.1.2.7PrimarySecurity Appliance本讲稿第三十六页，共六十七页步骤二：连接Failover Cable 蓝狐网络技术培训学校蓝狐网络技术培训学校PrimarySecurity ApplianceSecondarySecurity AppliancePrimaryLabeled Connector本讲稿第三十七页，共六十七页步骤三：配置主防火墙 蓝狐网络技术培训学校蓝狐网络技术培训学校Internet.7SecondarySecurity Appliance192.168.2.010.0.2.0.1.2.7fw2(config)#failoverfw2(config)#interface ethernet0fw2(config-if)#ip address 192.168.2.2 255.255.255.0 standby 192.168.2.7 fw2(config)#interface ethernet1fw2(config-if)#ip address 10.0.2.1 255.255.255.0 standby 10.0.2.7fw2(config)#failover polltime unit 10Failovercable在主防火墙上开启在主防火墙上开启failover failover 在主防火墙上配置在主防火墙上配置activeactive和和standby ipstandby ip地址地址(可选可选)配置配置failover,hellofailover,hello时间时间本讲稿第三十八页，共六十七页show failover命令：备份防火墙Power off 蓝狐网络技术培训学校蓝狐网络技术培训学校fw2#show failoverFailover OnCable status:Other side not connectedFailover unit PrimaryFailover LAN Interface:N/A -Serial-based failover enabledUnit Poll frequency 15 seconds,holdtime 45 secondsInterface Poll frequency 15 secondsInterface Policy 1Monitored Interfaces 3 of 250 maximumLast Failover at:13:21:38 UTC Dec 10 2004 This host:Primary-Active Active time:200(sec)Interface outside(192.168.2.2):Normal(Waiting)Interface inside(10.0.2.1):Normal(Waiting)Interface dmz(172.16.2.1):Normal(Waiting)Other host:Secondary Not detected Active time:0(sec)Interface outside(192.168.2.7):Unknown(Waiting)Interface inside(10.0.2.7):Unknown(Waiting)Interface dmz(172.16.2.7):Unknown(Waiting)Stateful Failover Logical Update Statistics Link:Unconfigured本讲稿第三十九页，共六十七页步骤四：备份防火墙加电 蓝狐网络技术培训学校蓝狐网络技术培训学校复制主防火墙配置到辅助防火墙复制主防火墙配置到辅助防火墙Internet.7SecondarySecurity Appliance192.168.2.010.0.2.0.1.2.7Replication Detected an active mateBeginning configuration replication to mate.End configuration replication to mate.Power On本讲稿第四十页，共六十七页show failovershow failover 蓝狐网络技术培训学校蓝狐网络技术培训学校 Detected an active mateBeginning configuration replication to mate.End configuration replication to mate.fw2#show failoverFailover OnCable status:NormalFailover unit PrimaryFailover LAN Interface:N/A -Serial-based failover enabledUnit Poll frequency 15 seconds,holdtime 45 secondsInterface Poll frequency 15 secondsInterface Policy 1Monitored Interfaces 3 of 250 maximumLast Failover at:13:21:38 UTC Dec 10 2004 This host:Primary-Active Active time:300(sec)Interface outside(192.168.2.2):Normal Interface inside(10.0.2.1):Normal Interface dmz(172.16.2.1):Normal Other host:Secondary Standby Ready Active time:0(sec)Interface outside(192.168.2.7):Normal Interface inside(10.0.2.7):Normal Interface dmz(172.16.2.7):NormalStateful Failover Logical Update Statistics Link:Unconfigured本讲稿第四十一页，共六十七页强制切换 蓝狐网络技术培训学校蓝狐网络技术培训学校Primary:Standby Activefw1InternetSecondary:Active Standbyfw2192.168.0.010.0.0.0fw2(config)#failover active强制将防火墙设备切换到强制将防火墙设备切换到activeactive状态状态failover activefw1(config)#本讲稿第四十二页，共六十七页故障恢复详细配置故障恢复详细配置蓝狐网络技术培训学校蓝狐网络技术培训学校基于基于CableCable故障恢复配置故障恢复配置基于基于LANLAN的故障恢复配置的故障恢复配置本讲稿第四十三页，共六十七页5.7.2 5.7.2 基于基于LANLAN的故障恢复配置的故障恢复配置蓝狐网络技术培训学校蓝狐网络技术培训学校主备模式主备模式A/SA/S配置配置负载均衡模式负载均衡模式A/AA/A配置配置本讲稿第四十四页，共六十七页LAN-Based Failover LAN-Based Failover 配置步骤配置步骤 蓝狐网络技术培训学校蓝狐网络技术培训学校Complete the following tasks to configure LAN-based failover:1.Install a LAN-based failover connection between primary and secondary security appliances.2.Configure the primary security appliance.3.Configure the primary security appliance for stateful failover.4.Save the primary security appliance configuration to Flash memory.5.Power on the secondary security appliance.6.Configure the secondary security appliance with the minimum failover LAN command set.7.Save the secondary security appliance configuration to Flash memory.8.Connect the secondary unit LAN failover interface to the network.9.Reboot the secondary security appliance.本讲稿第四十五页，共六十七页以太网以太网failoverfailover连线连线 蓝狐网络技术培训学校蓝狐网络技术培训学校PrimarySecurity ApplianceInternete0SecondarySecurity Appliance192.168.2.010.0.2.0e1e0e1e2e2LANFailover本讲稿第四十六页，共六十七页Lan-based:Lan-based:配置主和辅助地址配置主和辅助地址 蓝狐网络技术培训学校蓝狐网络技术培训学校fw1(config)#interface ethernet0fw1(config-if)#ip address 192.168.2.2 255.255.255.0 standby 192.168.2.7fw1(config)#interface ethernet1fw1(config-if)#ip address 10.0.2.1 255.255.255.0 standby 10.0.2.7fw1(config)#interface ethernet2fw1(config-if)#ip address 172.16.2.1 255.255.255.0 standby 172.16.2.7Primaryfw1Internet.7SecondarySecurity Appliance192.168.2.010.0.2.0.1.2.7172.17.2.0.1.7本讲稿第四十七页，共六十七页Lan-based:Lan-based:配置配置primaryprimary 蓝狐网络技术培训学校蓝狐网络技术培训学校fw2(config)#interface ethernet3fw2(config-if)#no shut fw2(config)#failover lan interface LANFAIL ethernet3fw2(config)#failover interface ip LANFAIL 172.17.2.1 255.255.255.0 standby 172.17.2.7fw2(config)#failover lan enable fw2(config)#failover lan unit primaryfw2(config)#failover key 1234567 fw2(config)#failoverPrimaryfw1Internet.7SecondarySecurity Appliance192.168.2.010.0.2.0.1.2.7172.17.2.0.1.7本讲稿第四十八页，共六十七页状态型故障切换状态型故障切换 蓝狐网络技术培训学校蓝狐网络技术培训学校failover link if_name phy_iffwfirewall(config)#fw2(config)#failover link LANFAIL Specifies the name of the dedicated interface used for stateful failover.Primaryfw1Internet.2SecondarySecurity Appliance192.168.2.010.0.2.0.1.1.2Statefulfailovere2e2本讲稿第四十九页，共六十七页LAN FailoverLAN Failover配置配置:Secondary:Secondary 蓝狐网络技术培训学校蓝狐网络技术培训学校Primaryfw1Internet.2Secondaryfw2192.168.2.010.0.2.0.1.1.2172.17.2.0.1.7fw2(config)#interface ethernet3fw2(config-if)#no shut fw2(config)#failover lan interface LANFAIL ethernet3fw2(config)#failover interface ip LANFAIL 172.17.2.1 255.255.255.0 standby 172.