PIX配置Failover
配置PIX Failover
Failover的系统需求
要配置pix failover需要两台PIX满足如下要求:
?型号一致(PIX 515E不能和PIX 515进行failover)
?软件版本相同
?激活码类型一致(都是DES或3DES)
?闪存大小一致
?内存大小一致
Failover中的两个设备中,至少需要一个是UR的版本,另一个可以是FO 或者UR版本。R版本不能用于Failover,两台都是FO版版也不能用于同一个Failover环境。
注意 Pix501、Pix506/506E均不支持Failover特性。
理解Failover
Failover可以在主设备发生故障时保护网络,在配置了Stateful Failover 的情况下,在从主Pix迁移到备PIX时可以不中断TCP连接。Failover发生时,两个设备都将改变状态,当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址,并开始工作。而新的备用PIX则将自己的IP
和MAC设置为原备份地址。对于其它网络设备来说,由于IP和MAC都没改变,在网络中的任何地方都不需要改变arp表,也不需要等待ARP超时。
一旦正确配置了主Pix,并将电缆连接正确,主Pix将自动把配置发送到备份的PIX上面。Failover可以在所有的以太网接口上工作良好,但Stateful Failover所使用的接口只能是百兆或千兆口。
在未配置Failover或处于Failover活动状态时,pix515/515E/525/535前面板上的ACT指示灯亮,处于备用状态时,该灯灭。
将两台PIX连在一起做Fairover有两种方式:使用一条专用的高速Failover电缆做基于电缆的Failover,或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。如果做stateful Failover或做基于网络的Failover时,推荐使用100兆全双工或千兆连接。
警告做Stateful Failover时所使用的Failover连接的速度不能低于正常工作的接口的速度。
Failover特性使PIX每隔15秒(可以使用Failover poll命令设置)就对自己的接口进行一次ARP查询。只有禁用Failover这种查询才会停止。
注意使用static命令不当会造成Failover不能正常工作。
没有定义特殊端口的static命令,转换一个接口上接收到的流量的地址,然而,备份的PIX必须能和主PIX的每一个启用了的接口通讯,以检查该接口是否处于活动状态。
例如,下面的例子会打断正常的通讯,而不能使用:
static (inside,outside) interface 192.168.1.1
这个命令转换从outside接口来来的流量到inside接口,并转发到
182.168.1.1,包括从备用PIX发过来的Failover信息。因为备用PIX无法收到响应信息,它就认为主PIX的该接口不活动,这样,备份PIX就将切换到活动状态。
要创建一个不会对Failover造成影响的static语句,在Static命令中加入端口信息。例如上例可以改写为如下形式:
static (inside, outside) tcp interface 80 192.168.1.1 80
这样,就只会转换Http流量(80端口),而对Failover信息没有影响。如果还需要转换其它流量,可以为每个端口写一条Static语句
在主PIX上配置Failover需要使用到如下命令:
?failover启用Failover
?failover ip address为备用PIX分配接口地址
?failover link启用Stateful Failover
?failover lan配置基于网络的Failover
配置基于Failover电缆的Failover
注意如果备用PIX处于开电状态,在进行下面的操作前先将它关掉。
第一步在活动的PIX上用clock set命令同步时钟
第二步将主、从PIX上配置了IP地址的所有接口的网线都接好。
第三步将Failover电缆上标有"Primary"的那头接到主PIX的Failover 口上,标有"Secondary"的那头接到从PIX上面
第四步只配置主PIX.在主PIX上使用write mem命令时,配置会自动写到备用PIX的FLASH中。
注意在系统提示可以打开备用Pix前,不要给备用PIX上电。
第五步使用conf t命令进入配置模式
第六步确认在配置的任何一个interface命令中都没有使用auto或1000auto选项,要查看interface命令,可以使用wr term。如果有使用auto 选项的则需要重新输入。确认每条链路两端的。
注意如果使用Stateful Failover,在使用一条交换线直接连接两台PIX 时,一要要注意在interface命令中使用100full或1000sxfull选项,而且在Stateful Failover连接上的MTU一定要设置为1500或更大。
Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度。
例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。
第七步在interface配置正确后使用clear xlate命令.
第八步正确配置接口的IP地址。配置完后可以使用show ip address命令查看:
show ip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
当主PIX处于活动状态时,Current IP Addresses和System IP Addresses 相同,当主PIX得失效状态时,Current IP Addresses会变成备用PIX的IP地址.
第九步在主PIX上使用failover命令启用Failover。
第十步使用show failover验证状态,输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): Unknown (Waiting)
Interface intf3 (0.0.0.0): Unknown (Waiting)
Interface intf2 (0.0.0.0): Unknown (Waiting)
Interface outside (0.0.0.0): Unknown (Waiting)
Interface inside (0.0.0.0): Unknown (Waiting)
show failover命令输出的cable状态可能有如下值:
?My side not connected—标志着在使用show failover命令时failover 电缆未正确连接。
?Normal—标志主从pix都操作正常.
?Other side is not connected—标志对端未正确连接failover电缆。
?Other side powered off—标志对端没开电。
在接口IP地址右边的标志有如下类型:
?Failed—接口失效.
?Link Down—接口链路层协议
?Normal—正常
?Shut Down—该接口被手工停用了(在interfac命令中使用了shutdown 参数)
?Unknown—该接口未配置IP地
?Waiting—还没有开始监视对端的接口状态。
第十一步使用failover ip address命令声明备用PIX的每一个接口的地址,只需要在主pix上配置,该地址不能和主PIX的地址相当,但每一个接口的地址都可以在同一个子网内。如下例示:
failover ip address inside 10.1.1.2
failover ip address outside 192.168.1.2
failover ip address intf2 192.168.2.2
failover ip address intf3 192.168.3.2
failover ip address 4th 172.16.1.2
配置后,再show failover的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
第十二步如果要配置Stateful Failover,使用failover link命令来定义要使用哪一个接口来传输状态信息,在本例中使用4th,命令如下:failover link 4th
第十三步启用Stateful Failover,show failover命令的输出如下:show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
在"Stateful Failover Logical Update Statistics"一段中的各部分的意义如下:
?Stateful Obj—PIX stateful对象
?xmit—传送到另一台设备的包数量
?xerr—在传送过程中出现的错误包的数量
?rcv—收以的包数量
?rerr—收到的错误包的数量
每一行的状态对象定义如下:
?General—所有的状态对象汇总
?sys cmd—系统命令,例LOGIN和Stay Alive
?up time—启用时间
?xlate—转换信息
?tcp conn—CTCP连接信息
?udp conn—动态UDP连接信息
?ARP tbl—动态ARP表信息
?RIF Tbl—动态路由表信息
第十四步如果需要将轮询时间改得小于15秒,以保证正常工作,可以使用Failover poll seconds命令,缺省值为15秒,最小3秒,最大15秒。将轮询时间改小,会更快的检测到失效,但也由于临时的拥塞而导致不必要的切换。
第十五步打开备用pix的电源,一上电,主pix就会将配置同步到备用PIX上面,会出现 "Sync Started"和"Sync Completed"两条信息.
第十六步在备用的pix启用后,show failover命令的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal
Interface intf3 (192.168.3.1): Normal
Interface intf2 (192.168.2.1): Normal
Interface outside (192.168.1.1): Normal
Interface inside (10.1.1.1): Normal
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Normal
Interface intf3 (192.168.3.2): Normal
Interface intf2 (192.168.2.2): Normal
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.2): Normal
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
第十七步使用wr mem命令将配置同时写入主从pix.
配置基于LAN的Failover
从PixOS 6.2开始支持基于LAN的Failover,这样,就不再需要Fairover 电缆了。基于LAN的Fairover突破了Failover的6英尺的距离限制。
注意要配置基于LAN的Failover,每台PIX需要一个单独的以太接口,并且必须接在一台单独的交换机或一个单独的VLAN上。不能使用交叉线将两台PIX直接连接起来。
在基于LAN的Failover中,Fairover消息通过LAN进行传输,所有相关的安全性要低于基于Failover电缆的做法,在PIX os 6.2中提供了一种使用手工预先设置共享密码的加密与认证机制。
配置步骤:
第一步在活动的PIX上面用Clock set命令设置时钟
第二步将主、从PIX上除用于LAN Fairover以外的所有配置了IP地址的所有接口的网线都接好。
第三步如果连接了Fairover电缆,把它给拨掉。
第四步只配置主PIX.在主PIX上使用write mem命令时,配置会自动写到备用PIX的FLASH中。
注意在系统提示可以打开备用Pix前,不要给备用PIX上电。
第五步使用conf t命令进入配置模式
第六步确认在配置的任何一个interface命令中都没有使用auto或1000auto选项,要查看interface命令,可以使用wr term。如果有使用auto 选项的则需要重新输入。确认每条链路两端的。
注意如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时,要注意在interface命令中使用100full或1000sxfull选项,而且在Stateful Failover连接上的MTU一定要设置为1500或更大。
Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。
第七步在interface配置正确后使用clear xlate命令.
第八步正确配置接口的IP地址。配置完后可以使用show ip address命令查看:
show ip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
当主PIX活动状态时,Current IP Addresses和System IP Addresses相同,当主PIX处于失效状态时,Current IP Addresses会变成备用PIX的IP地址.
第九步在主PIX上使用failover命令启用Failover。
第十步使用show failover验证状态,输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): Unknown (Waiting)
Interface intf3 (0.0.0.0): Unknown (Waiting)
Interface intf2 (0.0.0.0): Unknown (Waiting)
Interface outside (0.0.0.0): Unknown (Waiting)
Interface inside (0.0.0.0): Unknown (Waiting)
show failover命令输出的cable状态可能有如下值:
?My side not connected—标志着在使用show failover命令时failover电缆未正确连接。
?Normal—标志主从pix都操作正常.
?Other side is not connected—标志对端未正确连接failover 电缆。
?Other side powered off—标志对端没开电。
在接口IP地址右边的标志有如下类型:
?Failed—接口失效.
?Link Down—接口链路层协议
?Normal—正常
?Shut Down—该接口被手工停用了(在interfac命令中使用了shutown参数)
?Unknown—该接口未配置IP地
?Waiting—还没有开始监视对端的接口状态。
第十一步使用failover ip address命令声明备用PIX的每一个接口的地址,只需要在主pix上配置,该地址不能和主PIX的地址相当,但每一个接口的地址都可以在同一个子网内。如下例示:
failover ip address inside 10.1.1.2
failover ip address outside 192.168.1.2
failover ip address intf2 192.168.2.2
failover ip address intf3 192.168.3.2
failover ip address 4th 172.16.1.2
配置后,再show failover的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
第十二步将用于LAN Fairover的接口接入网络,然后在主PIX上配置:no failover
failover lan unit primary
failover lan interface intf3
failover lan key 1234567
failover lan enable
failover
第十三步如果要配置Stateful Failover,使用failover link命令来定义要使用哪一个接口来传输状态信息,在本例中使用4th,命令如下:failover link 4th
第十四步启用Stateful Failover,show failover命令的输出如下:show failover
Failover On
Cable status: Unknown
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
Lan Based Failover is Active
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Unknown 在"Stateful Failover Logical Update Statistics"一段中的各部分的意义如下:
?Stateful Obj—PIX stateful对象
?xmit—传送到另一台设备的包数量
?xerr—在传送过程中出现的错误包的数量
?rcv—收到的包数量
?rerr—收的错误包的数量
每一行的状态对象定义如下:
?General—所有的状态对象汇总
?sys cmd—系统命令,例LOGIN和Stay Alive
?up time—启用时间
?xlate—转换信息
?tcp conn—CTCP连接信息
?udp conn—动态UDP连接信息
?ARP tbl—动态ARP表信息
?RIF Tbl—动态路由表信息
第十五步如果需要将轮询时间改得小于15秒,以保证正常工作,可以使用Failover poll seconds命令,缺省值为15秒,最小3秒,最大15秒。将轮询时间改小,会更快的检测到失效,但也也由于临时的拥塞和导致不必要的切换。
第十六步在不接用于Fairover电缆的情况下打开备用pix电源,然后进行如下配置:
nameif ethernet3 intf3 security40
interface ethernet3 100full
ip address intf3 192.168.3.1 255.255.255.0
failover ip address intf3 192.168.3.2
failover lan unit secondary <--optional
failover lan interface intf3
failover lan key 1234567
failover lan enable
failover
wr mem
reload
第十七步备用PIX启动后,将它上面用于做Failover的接口接入网络,然后使用show Failover命令验证Failover状态:
show failover
Failover On
Cable status: Unknown
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Norml
Interface intf2 (192.168.2.1): Normal
Interface outside (192.168.1.1): Normal
Interface inside (10.1.1.1): Normal
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Normal
Interface intf2 (192.168.2.2): Normal
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.2): Normal
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
Lan Based Failover is Active
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Normal 第十八步使用wr mem命令将配置写到Flash Memmory中。
基于Failover电缆转换到基于LAN的Failover
第一步使用如下命令关闭Failover
no failover
第二步将用于LAN Fairover的接口接入网络,然后在主PIX上配置:failover lan interface intf3
failover lan key 1234567
failover lan enable
failover
第三步使用show Fail命令显示Failover状态:
Failover On
Cable status: Unknown
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
Lan Based Failover is Active
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Down
第四步在从PIX上,输入下列命令:
failover lan unit secondary <--- optional
failover lan interface intf3
failover lan key 12345678
failover lan enable
failover
wr mem
reload
在从PIX启动后,使用Show Failover命令验证基于LAN的Failover是不是开始正常工作了,命令输出如下:
show failover
Failover On
Cable status: Unknown
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Norml
Interface intf2 (192.168.2.1): Normal
Interface outside (192.168.1.1): Normal
Interface inside (10.1.1.1): Normal
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Normal
Interface intf2 (192.168.2.2): Normal
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.2): Normal
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
Lan Based Failover is Active
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Normal 第五步使用write memory命令保存配置.
验证Failover配置
可以使用如下步骤验证Failover是否配置成功:
第一步使用如下配置将log信息定向到log server
logging host inside 10.1.1.5
logging trap debugging
logging on
log server的配置参见论坛精华区的:pix log发送到linux syslog server.一贴。
logging trap debugging命令申明所有级别的log信息都发送到log server 上面,这样log信息会变得很多,在系统调试阶段这很有用。可以使用logging trap error命令减少发出的logo信息数目,这样就会只发送Alert\critical condition和error信息。
第二步关闭主PIX电源,测试备用的PIX工作是否工作正常。
第三步使用show failover命令检查备用pix是否处于活动状态。
第四步使用FTP在不同的接口间传送一个大文件;
第五步使用show interface确认已经开始处理数据了。
会显示如下信息:
"Verifying LAN-Based Failover Configuration:"
I 在PIX 6.2中如果实施了基于LAN的Failover,show failover命令可以提供更为详细的信息,例1就是一个基于LAN的failover在使用show failover 命令的输出:
例1 基于LAN的failover的show failover命令输出:
pix(config)# show failover
Failover On
Cable status: Normal
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: Primary - Active
Active time: 253515 (sec)
Interface faillink (192.168.3.1): Normal
Interface outside (172.23.58.70): Normal
Interface inside (192.168.2.1): Normal
Other host: Secondary - Standby
Active time: 0 (sec)
Interface faillink (192.168.3.2): Normal
Interface outside (172.23.58.71): Normal
Interface inside (192.168.2.2): Normal
Stateful Failover Logical Update Statistics
Link : faillink
Stateful Obj xmit xerr rcv rerr
General 34177 0 34183 0
sys cmd 34175 0 34173 0
up time 2 0 2 0
xlate 0 0 0 0
tcp conn 0 0 8 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
>
Logical Update Queue Information
Cur Max Total
Recv Q: 0 1 34184
Xmit Q: 0 1 34179
>
LAN-based Failover is Active
interface dmz (171.69.39.200) Normal, peer (171.69.39.201): Normal:
命令show failover lan可以只显示基于LAN的failover的状态。命令show failover lan detail提供了更为详细的信息,
例2 show failover lan detail命令输出:
pix(config)# show failover lan detail
Lan Failover is Active
This Pix is Primary
Command Interface is dmz
Peer Command Interface IP is 171.69.39.201
My interface status is 0x1
Peer interface status is 0x1
Peer interface downtime is 0x0
Total msg send: 103093, rcvd: 103031, droped: 0, retrans: 13, send_err: 0
Total/Cur/Max of 51486:0:5 msgs on retransQ
msgs on retransQ if any
LAN FO cmd queue, count: 0, head: 0x0, tail: 0x0
Failover config state is 0x5c
Failover config poll cnt is 0
Failover pending tx msg cnt is 0
Failover Fmsg cnt is 0
pix os6.2还提供了4个新的专门用于基于LAN failover调试的debug选项:ailover:
?lanrx—显示基于LAN的failover接收进程的调试信息
?lanretx—显示基于LAN的failover转发进程的调试信息
?lantx—显示基于LAN的failover发送进程的调试信息
?lancmd—显示基于LAN的failover主线程的调试信息
附加的Failover信息
Failover通讯
在一个Failover对中的两台PIX通过一个局域网连接或专用的Failover
电缆进行通讯。Failover电缆是一个工作在115.2Kbps的改进过的RS-232串行电缆。在数据中包含有主从PIX的标志位。
两个PIX每隔15秒在所有的接口和Failover电缆上发送一个特殊的Failover的"hello"包,可以使用failover poll seconds命令修改"hello"包的发送间隔(最小为3秒,最大15秒)。在使用stateful failover时,该值应该小一些。减少该值,可以更快的检测到失效,但也会引起一些不必要的切换。
PIX上的Failover特性监视着两台PIX的Failover通讯、电源状态、接口上的hello包状态。如果连续有两个hello包未收到,Failover进程开始检查接口的状态,如果主PIX有任何一个接口失效了,那么控制权就移交到备用PIX 上面。
只有在PIX上有100Mbps或千兆网连接时才可以使用Stateful Failover,启用Stateful Failover后,每个connections的状态都在两个PIX之间进行同步。没有启用Stateful Failover的情况下,备用PIX并不维护每个连接的状态信息,这就意味着在失效发生时,所有的连接都将复位,客户端必须重新发起连接。
Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。
Failover 使用如下特性去检查对方是否处于可用状态
?链接状态测试—这是检查网卡本身的,如果一个接口卡没处于UP状态,刚认为该接口出现了故障
?网络活动性测试—测试网络的活动状态,PIX将统计5秒内收到的所有的包,只要在这个时间范围内收到任何一个包,就谁该接口正常操作,并停止测试,如果没有任何信息收到,则进行ARP测试。
?ARP 测试—ARP测试将读取PIX的ARP cache中最近的10条记录,PIX 将以一次条的方式向这些主机发出ARP查询,在每个查询过后,将等待5秒,如果5少内有响应则说明网络正常,如果没有响应,则进行下一条,如果所有的都没有响应,进行Ping测试。
?广播Ping测试—在ping中,PIX将发出一个广播PING,并统计5秒内是否有响应包,如果没有,再次进行ARP测试。
注意在基于LAN的failover中,无法检查出PIX的掉电的情况。
配置复制
把配置从主PIX复制到备用PIX有三种方式
?备用PIX启动后,整个完整的配置被复制到备用PIX上面。
?在主PIX上作的每个配置都将通过Failover连接复制到备用PIX上。
?可以在主PIX上使用write standby命令将整个配置强制的传送到备用PIX上面。
配置复制都是内存到内存的,在复制完成后,应当使用wr mem命令配置写到Flash中。如果使用基于failover电缆的failover,配置又很长时,将花很
多时间来进行配置的同步,如果在同步过程中发生切换,则新的活动PIX的配置交不完整,它将重新启动,并使用Flash中的配置。在同步过程中,不能在console上输入任何信息。
Stateful Failover
Stateful Failover特性预先将状态信息传送到备用PIX上,在一个切换发生时,在新的活动PIX上有着同样的连接信息,用户的应用的会话不需要重新连接。
传送到备用PIX的状态信息包括:全局地址池和状态、连接和地址转换信息、H323UDP端口协商状态、PAT映射表,以及其它的细节信息。
根据特性,PIX需要15-45秒来被完成一次切换,完成切换前,stateful failover同样无法为应用提供服务。
Stateful Failover需要100Mbps或千兆以太连接,stateful failover接口之间的连接可以使用下面的任何一种方法:
?使用5类交叉线直连
?使用一个单独的100兆全双工交换机或使用一个单独的VLAN
?使用一个单独的1000兆全双工交换机或使用一个单独的VLAN
数据传输使用IP协议,协议号为105,在这个接口上不能有任何其它的主机或路由器。
图1 显示了使用Stateful Failover的两台PIX的连接.
图1 Stateful Failover最小配置
注意所有不使用的接口均应该用shutdown命令将它shutdown.
禁用Failover
可以使用no failover这样一个简单的命令来禁用failover,如果failover 被禁用,show failover命令的输出如如下所示:
show failover
Failover Off
Cable Status: My side not connected
Reconnect timeout: 0:00:00
Failover使用须知
在使用PIX Failover时应该注意如下事项:
1. 在连接PIX的交换机上做如下配置:
a. 在直接连接PIX的端口上启用portfast
b. 在直接连接PIX的端口上关于trunking
c. 在直接连接PIX的端口上关于channeling.
d. 确认MSFC运行的IOS版本不是已废除的版本。
注意从CAT OS 5.4开始增加了一个新的命令 set port host.这个命令可以直接执行前三个操作,可以使用端口在up后的一秒内开始转发数据。
2. PIX failover备用机有意设置为用于failover环境,不能单独使用,如果单独使用,每24小时内至少会重启一次,并会出现如下提示信息
=========================NOTICE ==========================
This machine is running in secondary mode without
a connection to an active primary PIX. Please
check your connection to the primary system.
REBOOTING....
========================================================== 3. 一台只有failover特性集的PIX在未连接failover电缆到主PIX或者没有连接failover接口时,将在启用时死机。
4. 备用PIX上所做的配置更改不会同步到主PIX上面。
5、Failover的信息的log级别始终为2-critical condition
Failover配置实例
网络拓朴如下图所示:
例1 Failover 配置
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 failover security10
nameif ethernet3 unused security20
enable password xxx encrypted
passwd xxx encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 20
no logging timestamp
no logging standby
logging console errors
no logging monitor
no logging buffered
no logging trap
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 10baset
interface ethernet2 100full
interface ethernet3 10baset
mtu outside 1500
mtu inside 1500
mtu failover 1500
mtu unused 1500
ip address outside 209.165.201.1 255.255.255.224
ip address inside 192.168.2.1 255.255.255.0
ip address failover 192.168.254.1 255.255.255.0
ip address unused 192.168.253.1 255.255.255.252
failover
failover ip address outside 209.165.201.2
failover ip address inside 192.168.2.2
failover ip address failover 192.168.254.2
failover ip address unused 192.168.253.2
failover link failover
arp timeout 14400
global (outside) 1 209.165.201.3 netmask 255.255.255.224 nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 209.165.201.5
192.168.2.5 netmask 255.255.255.255 0 0
access-list acl_out permit tcp any 209.165.201.5 eq 80 access-list acl_out permit icmp any any
access-group acl_out in interface outside
Oracle数据库连接的failover配置
Failover的连接配置 刘伟 以下内容参考了官方文档。这里的failover,是指应用发起一个数据库连接以后,如果工作过程中该连接所连到的实例发生了故障,连接可以自动切换到正常节点,从而最小化对业务的影响。 根据Oracle的介绍,我们有两种连接方式可以实现数据库连接的failover: TAF和FCF 1. TAF TAF的全称是Transparent Application Failover,即透明应用故障切换。 按照官方文档的描述,TAF让Oracle Net将一个失效的连接从故障点转移到另一个监听上,用户能使用这个新的连接来继续未完成的工作。 TAF可以配置为使用client端的(Transparent Network Substrate)TNS连接字符串来连接,或者使用server端的服务。如果两种方式同时使用,则使用server端的服务配置。 TAF可以工作在两种模式下:session failover和select failover。前者在failover时会重建失败的连接,后者则能够继续进程中未完成的查询(如果failover前一个session正在从一个游标中获取数据,则新的session将在相同的snapshot下重新运行select语句,并返回余下的行)。如果failover时,session执行了DML操作且未提交,则failover后,若不执行rollback 回滚而执行新的操作,将会收到一条错误信息ORA-25402: transaction must roll back TAF在dataguard中使用,可以自动进行failover 一个典型的使用了TAF的TNS连接串如下: NEWSDB = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = rac1-vip)(PORT = 1521)) (ADDRESS = (PROTOCOL = TCP)(HOST = rac2-vip)(PORT = 1521)) (LOAD_BALANCE = yes) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = dyora) (FAILOVER_MODE = (TYPE = SELECT) (METHOD = BASIC) (RETRIES = 180) (DELAY = 5) ) ) )
防火墙双机热备配置案例
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。 配置要点 ?设置HA心跳口属性 ?设置除心跳口以外的其余通信接口属于VRID2 ?指定HA的工作模式及心跳口的本地地址和对端地址 ?主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 ?主墙 a)配置HA心跳口地址。 ①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。 点击“确定”按钮保存配置。
gns3下ASA配置运行初步
GNS3 搭建本地ASA并使用ASDM管理 实验环境: 本地ASA 的IP 地址127.0.0.1(本地ASA 使用) GNS3 0.7.3 Fiddler2 本地TOP 搭建: 1、下载解压过的asa802-k8.bin 文件,实验中使用的解压后的kernel 是 asa802-k8.bin.unpacked.vmlinuz,启动文件initrd 使 用单模式ASA,请下载asa802-k8-sing.gz;使用多模式ASA 请下载 asa802-k8-muti.gz。 两个initrd 文件中所加载的网卡为e100 和e1000,所用文件可以到本文附件下载, 打开GNS3,新建一个工程,命名为ASA。之后选择“编辑”-->“首选项”-->“qemu” 对“General Setting”做如图所示的配置:
之后配置ASA 选项卡,如图:
2、拖入ASA,分别新建ASA1 和ASA2,TOP 如下:
启动两个ASA 可以看到两个QEMU 窗口 由于是初次运行,点“console”登录后,看到内核初始化:
回到命令提示符后,请等大概1 分钟左右(为了防止出现其它问题,请按我说的做),等待FLASH 文 件的初始化,此时去看相应的工作目录下的FLASH 文件,会发现FLASH 文件的大小开始变化,大 概到24.9M 时,就OK 了,在FLASH 文件初始化的时候,你会发现硬盘灯开始狂闪了,^_^。 使用asa802-k8-sing.gz 的朋友在FLASH 文件初始化结束后,执行 /mnt/disk0/lina_monitor 使用asa802-k8-muti.gz 的朋友在FLASH 文件初始化结束后,执行 /mnt/disk0/lina –m
Cisco ASA5505防火墙详细配置教程及实际配置案例
Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS
C防火墙配置实例
C防火墙配置实例Prepared on 21 November 2021
本文为大家介绍一个H3C防火墙的配置实例,配置内容包括:配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等,组网拓扑及需求如下。 1、网络拓扑图 2、配置要求 3、防火墙的配置脚本如下
rule1000denyip aclnumber3002 descriptioninside-to-outside rule1000denyip # interfaceAux0 asyncmodeflow # interfaceEthernet0/0 shutdown # interfaceEthernet0/1 shutdown # interfaceEthernet0/2 speed100 duplexfull descriptiontoserver firewallpacket-filter3002inbound firewallaspf1outbound # interfaceEthernet0/3 shutdown # interfaceEthernet1/0 shutdown # interfaceEthernet1/1 shutdown # interfaceEthernet1/2 speed100 duplexfull descriptiontointernet firewallpacket-filter3001inbound firewallaspf1outbound natoutboundstatic # interfaceNULL0 # firewallzonelocal setpriority100 # firewallzonetrust addinterfaceEthernet0/2 setpriority85
天融信版本防火墙常用功能配置手册v
天融信版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月
目录
一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。 二、天融信版本防火墙配置概述 天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象(地址对象、服务对象、时间对象) 7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换) 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 ?提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络长时间中断。
三、天融信防火墙一些基本概念 接口:和防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说,定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时,管理员只需要修改对象本身的属性即可,而无需修改所有涉及到这个对象的策略或规则。防火墙中,用户可定义的对象类型包括:区域、地址、地址组、服务、服务组、以及时间等。 ?提示:对象名称不允许出现的特殊字符:空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。 ?提示:防火墙所有需要引用对象的配置,请先定义对象,才能引用。四、防火墙管理 防火墙缺省管理接口为eth0口,管理地址为,缺省登录管理员帐号:用户名superman,口令talent。 防火墙出厂配置如下:
实验八(一) ASA 配置 NAT 和 ACL
实验八ASA 配置NAT 和ACL 实验拓扑 实验要求 1 配置PAT,实现inside 区域内主机访问internet 2 配置静态地址转换,实现DMZ 区域主机172.16.2.1 转换为202.100.0.102 3 配置Identity NAT,实现172.16.100.2 访问inside 时,使用本ip地址 4 配置ACL,实现DMZ 区域内主机只允许icmp,telnet 流量访问去往inside 区域 5 配置ACL,实验inside 区域内主机192.168.1.1 不允许去往任何地址,只能在本区域访问 实验步骤 步骤2 根据设备表,配置ASA 和路由器的接口IP 地址 R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address 192.168.100.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface loopback 0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#exit
R2(config)#interface fastEthernet 0/0 R2(config-if)#ip address 172.16.100.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#interface loopback 0 R2(config-if)#ip address 172.16.2.1 255.255.255.0 R2(config-if)#exit R3(config)#interface fastEthernet 0/0 R3(config-if)#ip address 202.100.0.3 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#exit R3(config)#interface loopback 0 R3(config-if)#ip address 123.123.123.123 255.255.255.0 R3(config-if)#exit ciscoasa(config)# interface ethernet 0/0 ciscoasa(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default. ciscoasa(config-if)# ip address 192.168.100.100 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# interface ethernet 0/1 ciscoasa(config-if)# nameif DMZ INFO: Security level for "DMZ" set to 0 by default. ciscoasa(config-if)# security-level 50 ciscoasa(config-if)# ip address 172.16.100.100 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# interface ethernet 0/2 ciscoasa(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default. ciscoasa(config-if)# ip address 202.100.0.100 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit 测试连通性: ciscoasa(config)# ping 192.168.100.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.100.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms ciscoasa(config)# ping 172.16.100.2 Type escape sequence to abort.
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册
目录 一、防火墙的几种管理方式 (3) 1.串口管理 (3) 2.TELNET管理 (4) 3.SSH管理 (5) 4.WEB管理 (6) 5.GUI管理 (6) 二、命令行常用配置 (12) 1.系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2.网络配置命令(NETWORK) (13)
4.定义对象命令(DEFINE) (13) 5.包过滤命令(PF) (13) 6.显示运行配置命令(SHOW_RUNNING) (13) 7.保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1.系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2.网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3.对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4.访问策略配置 (23) 5.高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构: (28) 1.用串口管理方式进入命令行 (28) 2.配置接口属性 (28) 3.配置VLAN (28) 4.配置区域属性 (28) 5.定义对象 (28) 6.添加系统权限 (29) 7.配置访问策略 (29) 8.配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构: (30) 1.用串口管理方式进入命令行 (30) 2.配置接口属性 (30) 3.配置路由 (30) 4.配置区域属性 (30) 5.配置主机对象 (30) 6.配置访问策略 (30)
ASA双主Failover配置操作
ASA Active/Acitve FO 注:以下理论部分摘自百度文库: ASA状态化的FO配置,要在物理设备起用多模式,必须创建子防火墙。在每个物理设备上配置两个Failover组(failover group),且最多配置两个。 Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,当主设备down掉的时候,备用设备能够马上接管主设备的工作,进而保持通信的连通性;Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接;活动设备的接口被monitor,用于发现是否要进行Failover切换Failover分为failover和Stateful Failover,即故障切换和带状态的故障切换。 不带状态的failover在进行切换的时候,所有活动的连接信息都会丢失,所有Client都需要重新建立连接信息,那么这会导致流量的间断。 带状态的failover,主设备将配置信息拷贝给备用设备的同时,也会把自己的连接状态信息拷贝给备用设备,那么当主的设备down的时候,由于备用设备上保存有连接信息,因此Client不需要重新建立连接,那么也就不会导致流量的中断。 Failover link 两个failover设备频繁的在failover link上进行通信,进而检测对等体的状态。以下信息是通过failover link通信的信息: ●设备状态(active or standby); ●电源状态(只用于基于线缆的failover;) ●Hello messages (keep-alives); ●Network link 状态; ●MAC地址交换; ●配置的复制和同步; (Note :所有通过failover 和stateful failover线缆的信息都是以明文传送的,除非你使用failover key来对信息进行加密;) Stateful link 在stateful link上,拷贝给备用设备的连接状态信息有: ●NAT 转换表; ●TCP连接状态; ●UDP连接状态; ●ARP表 ●2层转发表(运行在透明模式的时候) ●HTTP连接状态信息(如果启用了HTTP复制) ●ISAKMP和IPSec SA表 ●GTP PDP连接数据库 以下信息不会拷贝给备用设备: ●HTTP连接状态信息(除非启用了HTTP复制) ●用户认证表(uauth) ●路由表
防火墙典型配置举例
1.1防火墙典型配置举例
[Quidway-acl-101]rule deny ip source any destination any #配置规则允许特定主机访问外部网,允许内部服务器访问外部网。 [Quidway-acl-101]rule permit ip source129.38.1.40destination any [Quidway-acl-101]rule permit ip source129.38.1.10destination any [Quidway-acl-101]rule permit ip source129.38.1.20destination any [Quidway-acl-101]rule permit ip source129.38.1.30destination any #配置规则允许特定用户从外部网访问内部服务器。 [Quidway]acl102 [Quidway-acl-102]rule permit tcp source202.39.2.30destination 202.38.160.10 #配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)。 [Quidway-acl-102]rule permit tcp source any destination 202.38.160.10.0.0.0destination-port greater-than1024 #将规则101作用于从接口Ethernet0进入的包。 [Quidway-Ethernet0]firewall packet-filter101inbound #将规则102作用于从接口Serial0进入的包。 [Quidway-Serial0]firewall packet-filter102inbound
Asa配置大全
1、ASA基本配置 静态路由:route outside 192.168.100.0 255.255.255.0 192.168.1.99 配置允许telnet:telnet 192.168.10.0 255.255.255.0 inside 配置telnet超时时间:telnet timeout 5 配置本地认证telnet与console:aaa authentication telnet console LOCAL 配置SSH生成密钥对: aaa authentication ssh console LOCAL ciscoasa(config)# crypto key generate rsa INFO: The name for the keys will be:
DHCP FAILOVER 细节
DHCP Failover的实现细节 RFC 2131的工作机制 RFC 2131定义了三种类型的服务器到服务器的信号:服务器租用同步信号、操作状态信号(问候包)及“我回来了”信号(主服务器从死机状态恢复)。 冗余DHCP服务器遵循RFC 2131 DHCP故障恢复草案通过服务器租用同步信号彼此交流租用信息。当两台服务器工作正常时,主、次服务器间会有连续的信息流。用来交流租用信息的信号有三种: 添加信号,当主服务器分发出一个新租约时,主服务器发送到次服务器的信号;刷新信号,当租约有变化时(如更新/扩充),每台服务器发送的信号; 删除信号,当租约期满,地址又成为可用的了,服务器发送的信号。 在所有情况下,接收方服务器以肯定或否定的认可信号来响应。这些信号只有在请求DHCP客户处理完毕后才发送给另一台服务器。 除了维护当前的租用信息数据库外,次服务器还必须留意主服务器,以便得知何时取代租用的分发。这一功能由监视两台服务器的TCP连接来实现。次服务器使用三个标准以确定它和主服务器的连接是否满意: 1.必须能建立TCP连接; 2.必须接收到主服务器发送的连接信号,并以连接认可响应; 3.必须接收到主服务器发出的状态信号,用它来确定自己的操作状态。 failover协议允许两台DHCP服务器(不能多于2台)共享一个公共的地址池。在任何时刻,每台服务器都拥有地址池中一半的可用地址用来分配给客户端。如果其中一台服务器失效,另一台服务器在与失效的服务器通讯之前会继续从池中renew地址,并且会从它拥有的那一半可用地址中分发新地址给客户端。 如果一台服务器启动时没有预先通知它的failover伙伴, 那么在它对外提供服务以前必须与failover伙伴建立通讯,并且进行同步。这个过程当你首次
思科ASA防火墙ASDM安装和配置
CISCO ASA防火墙ASDM安装和配置 准备工作: 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名,比如“ASA”,单击确定。 选择连接时使用的COM口,单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令: ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框,单击“是” 输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“确定”。出现也下对话框,点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器,安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本),进入https://www.sodocs.net/doc/0115843828.html,下载安装,安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框,点击“是”。 出现以下对话框,输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“是”。 出现以下对话框,点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。
CiscoASAFailover防火墙冗余
Failover Failover是思科防火墙一种高可用技术,能在防火墙发生故障时数秒内转移配置到另一台设备,使网络保持畅通,达到设备级冗余的目的。 原理 前提需要两台设备型号一样(型号、内存、接口等),通过一条链路连接到对端(这个连接也叫)。该技术用到的两台设备分为Active设备(Primary)和Stanby设备(Secondary),这种冗余也可以叫AS模式。活跃机器处于在线工作状态,备用处于实时监控活跃设备是否正常。当主用设备发生故障后(接口down,设备断电),备用设备可及时替换,替换为Avtive的角色。Failover启用后,Primary 设备会同步配置文件文件到Secondary设备,这个时候也不能在Scondary添加配置,配置必须在Active进行。远程管理Failover设备时,登录的始终是active设备这一点一定要注意,可以通过命令(show failover)查看当时所登录的物理机器。目前启用failover技术不是所有状态化信息都可以同步,比如NAT转换需要再次建立。 配置Active设备: interface Ethernet0 nameif outside security-level 0 ip address standby //standby为备份设备地址
interface Ethernet1 nameif inside security-level 100 ip address standby ASA1(config)# failover lan unit primary //指定设备的角色主 ASA1(config)# failover lan interface failover Ethernet2 //Failover接口名,可自定义 ASA1(config)# failover link Fover Ethernet2//状态信息同步接口ASA1(config)# failover interface ip failover stan //配置Failover IP地址,该网段可使用私网地址 ASA1(config)# failover lan key xxxx //配置Failover 认证对端 ASA1(config)# failover //启用Failover;注意,此命令一定要先在Active上输入,否则会引起配置拷错; 将一个接口指定为failover 接口后,再show inter 的时候,该接口就显示为:interface Ethernet3 description LAN Failover Interface //确保接口up 配置standby设备: ASA2(config)# inte Ethernet3 ASA2(configif)# no shutdown ASA2(configif)# exit
ASA配置笔记
ASA5505配置笔记 一、常用基本功能配置实验 1、升级IOS ASA5505#copy tftp flash 应用新IOS ASA5505(config)# boot system flash:asa902-k8.bin ASA5505(config)# asdm image flash:/asdm-602.bin ASA5505(config)# exit ASA5505#reload 重启后按ESC键进入RMMON1>boot 引导即可 2、配置IP地址 ASA5505(config)# interface E0/0 ASA5505(config-if)# no shutdown ASA5505(config)#interface vlan 1 ASA5505(config-if)# nameif inside ASA5505(config-if)#end 3、开启ASDM功能配置 ASA5505(config)# username test password test privilege 15 //创建15级帐户 ASA5505(config)# http server enable //开启http server ASA5505(config)# http 192.168.2.69 255.255.255.255 inside //设定http的访问用户 4、PPPoE自动拔号设置 ASA5505(config)# vpdn group hangzhou request dialout pppoe ASA5505(config)# vpdn group hangzhou localname hzhzshuangquan ASA5505(config)# vpdn group hangzhou ppp authentication pap ASA5505(config)# vpdn username hzhzshuangquan password ********* ASA5505(config)# mtu outside 1492 ASA5505(config-if)# interface Vlan2 ASA5505(config-if)# nameif outisde ASA5505(config-if)# security-level 0 ASA5505(config-if)# ip address pppoe setroute 5、配置基于端口的NAT (PAT) ASA5505(config)# global (outisde) 111 interface ASA5505(config)# nat (inside) 111 0.0.0.0 0.0.0.0
生产数据库FailOver配置方法
配置方法(客户端方式 方式) 生产数据库 FailOver 配置方法(客户端方式)
生产数据库采用的是双实例的 Oracle RAC 数据库,在其中任一实例出现计划内或非 计划 shutdown 的时候,另一个实例可以接管失败实例的全部或部分业务(与主机资源相 关)。
生产应用实现 FailOver 的配置方法如下:
一、去掉生产数据库服务端负载均衡配置 去掉生产数据库服务端负载均衡配置 生产数据库
生产数据库在安装 Oracle RAC 环境的时候,服务端配置了负载均衡,用于将客户端 连接均衡负载到 RAC 的两个实例, 国庆调整后, Tuxedo 和 WebLogic 中间件均采用了 “大 厅客户端连接实例一,WEB 应用连接实例二”的方式,因而没有使用数据库服务端负载均 衡。 本次为了使用 RAC 的 FailOver 功能,并且同一应用的多个客户端连接不被分别连接 到实例一和实例二,需要去掉数据库服务端的负载均衡配置。 停止数据库服务端负载均衡配置只需修改 remote_listener 参数 (该参数为动态参数, 可被在线修改),语法如下: 以 oracle 用户登录实例一的操作系统 $ sqlplus / as sysdba SQL> alter system set remote_listener=’’ scope=both;
二、Tuxedo 中间件侧的 FailOver 配置
1、需要修改三个 Tuxedo 中间件分区的 tnsnames.ora 文件的 TAXP 的配置信息, 调整对应 TAXP 节为如下内容:
TAXP = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = taxdb1_vip)(PORT = 1521)) (ADDRESS = (PROTOCOL = TCP)(HOST = taxdb2_vip)(PORT = 1521)) (LOAD_BALANCE = NO) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = taxp) (FAILOVER_MODE =
H3C防火墙配置实例
精心整理本文为大家介绍一个H3C防火墙的配置实例,配置内容包括:配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等,组网拓扑及需求如下。 1、网络拓扑图 2、配置要求 3、防火墙的配置脚本如下
descriptionout-inside rule1000denyip aclnumber3002 descriptioninside-to-outside rule1000denyip # interfaceAux0 asyncmodeflow # interfaceEthernet0/0 shutdown # interfaceEthernet0/1 shutdown # interfaceEthernet0/2 speed100 duplexfull descriptiontoserver firewallpacket-filter3002inbound firewallaspf1outbound # interfaceEthernet0/3 shutdown # interfaceEthernet1/0 shutdown # interfaceEthernet1/1 shutdown # interfaceEthernet1/2 speed100 duplexfull descriptiontointernet firewallpacket-filter3001inbound firewallaspf1outbound natoutboundstatic # interfaceNULL0 # firewallzonelocal setpriority100 # firewallzonetrust
相关文档
- Cisco ASA 5505 防火墙常用配置案例
- Failover的切换以及注意事项的理解
- Cisco failover
- Cisco ASA5505防火墙详细配置教程及实际配置案例
- ESRP配置案例
- HA 配置的一个实例
- ASA Active Standby Failover实验
- SQL Server 2008故障转移集群+数据库镜像配置实例
- ASA配置failover实例
- DHCP FAILOVER 细节
- ASA FAILOVER实验配置
- ASA配置failover实例
- Cisco-ASA-Failover防火墙冗余
- Oracle数据库连接的failover配置
- ASA双主Failover配置操作
- ASA双主 Failover配置操作
- cisco asa 5520配置实例
- asa5520防火墙透明模式的配置例子
- 故障转移群集安装和配置
- ASA双主Failover配置操作