配置Cisco PIX 双机failover的要点 (cisco配置pc的ip)

1，搞清关于“主”“备”的几个概念：　　FailoverLink　　FailoverLink用于设备间相互沟通彼此的工作状态，Failoverlink上传递的信息包括：　　o设备的当前状态(active和standby)　　o电源状态(基于专用failover电缆的才有)　　oHello信息包(也通过所有其它端口发送)　　oActive设备向Standby设备传递配置(称为配置同步)　　　　Failoverlink可以使用两种介质（构成不同的failover形式）　　o基于专用电缆("cable-basedfailover")—两设备间距离不超过6英尺(约1.米)时，建议使用这种方式。因为设备可以通过此电缆感知对方的电源状态，而且能分辨出是设备断电还是根本没插电源线。Failover电缆是一种改进的RS-串行电缆(Kbps)，一端标有"Primary"用以连接primary设备，另一端标有"Secondary"用以连接secondary设备。　　　　o基于以太网("LAN-basedfailover")—可以使用设备上任意未占用的以太口，当两设备间距离超过6英尺(约1.米)时，请用这种方式。注意，此方式一定要通过交换机（推荐使用单独的交换机）进行连接，而不能通过交叉线直接连接两机的以太口。　　　　基于以太网的FailoverLink的缺点主要有：　　&#;当电源故障时，需要更长的时间才能failover　　&#;standby设备的配置需要单独设置（在cable-basedfailover中，standby设备可以不用enable任何端口或不用设置IP*的时候就跟active设备通讯，并从active设备接受整个的配置信息。）　　&#;两设备间用于FailoverLink的交换机会成为另一个硬件的故障点　　&#;占用以太网端口　　　　基于以太网的FailoverLink的优点：　　&#;设备之间可以相距6英尺以上　　&#;配置同步的速度快　　　　（在LAN-basedfailover中，如果FailoverLink断开，会自动使用其它端口查看对方状态。）　　　　Primary、Secondary及Active、Standby　　前者是物理概念，后者是逻辑概念。　　当前负责转发网络流量的设备就是Active设备，另一台是Standby设备。　　在cable-basedfailover中，其电缆的Primary端连接的就是Primary设备；Secondary端连接的PIX就称为Sencondary设备；在LAN-basedfailover中，Primary和Sencondary设备是在配置文件中设定的。　　当两台设备同时启动，而且都处于健康状态时，Primary设备就是Active设备；当Primary设备产生故障时，发生failover事件，Seconary设备就成为Active设备。　　Active设备总是使用ActiveIP*和Primary设备的MAC*，除非发生以下状况；　　oSecondary设备成为active，但无法通过failoverlink获得Primary设备的MAC*。　　o在配置中把两台设备的MAC*写死了(使用指令：failovermacaddress)。　　　　2，常规Failover和全状态Failover　　常规Failover（RegularFailover）：发生Failover事件时，所有当前活动的连接都会丢弃，用户需要重新刷新连接；　　全状态Failover（StatefulFailover）：在双机正常工作时，Active设备不断地把连接的状态信息发送给standby设备。当failover事件发生时，由于在新的Active设备上已经有了这些连接状态信息，所以用户不用重新连接就能继续通讯。设备传递的状态信息包括：　　&#;NAT表　　&#;TCP连接状态　　&#;H.,SIP,MGCPUDP等连接　　StateLink　　在全状态Failover中，必需使用一个以太连接(Ethernetlink)来传递状态信息，PIX可以用下列以太口来设置statelink：　　&#;FastEthernet(BASE-T)fullduplex　　&#;GigabitEthernet(GE)(BASE-T)fullduplex　　在配有GE端口的PIX上，必须选择GE端口配置statelink。　　两设备的statelink端口虽然可以使用交换机相连，但为避免额外的故障点，还是推荐使用交叉线直接将端口相连。在LAN-basedfailover中，我们可以将statelink与FailoverLink设置为使用同一连接（推荐尽可能使用两个链路），但此时不能用交叉线直连。　　　　3，关于配置同步　　＃当standby设备完成初始化启动时，会从active设备同步配置；　　＃配置同步只改变running-config，而不会把配置存到Flashmemory中；　　＃在Active设备上输入的指令会立刻被同步到Standby设备上；　　＃在active设备上输入writememory命令时，standby设备也会将配置写入Flashmemory；　　＃在Standby设备上输入的指令不会被同步到Active设备；　　＃如果两设备的startup-config不同，在设备启动后，Secondary设备会根据Primary设备的running-config同步自己的running-config；　　＃在active设备上输入writestandby命令时，standby设备会从active设备同步配置；　　　　4，配置示例　　例1Cable-BasedFailoverConfiguration　　interfaceethernetfull　　interfaceethernetfull　　interfaceethernet2shutdown　　interfaceethernetfull　　nameifethernet0outsidesecurity0　　nameifethernet1insidesecurity　　nameifethernet3statesecurity　　enablepasswordfarscapeencrypted　　passwordcrichtonencrypted　　telnet..2....　　hostnamepixfirewall　　ipaddressoutside......　　ipaddressinside..2....0　　ipaddressstate......　　failoveripaddressoutside...2　　failoveripaddressinside..2.2　　failoveripaddressstate...2　　failoverlinkstate　　failover　　global(outside)...3netmask...　　nat(inside).0.0..0.0.　　static(inside,outside).....2.5netmask...　　access-listacl_outpermittcpany...5eq　　access-groupacl_outininterfaceoutside　　routeoutside...　　　　例2LAN-BasedFailoverConfiguration　　Primary设备：　　interfaceethernetfull　　interfaceethernetfull　　interfaceethernetfull　　interfaceethernetfull　　nameifethernet0outsidesecurity0　　nameifethernet1insidesecurity　　nameifethernet2failoversecurity　　nameifethernet3statesecurity　　enablepasswordfarscapeencrypted　　passwordcrichtonencrypted　　telnet..2....　　hostnamepixfirewall　　ipaddressoutside......　　ipaddressinside..2....0　　ipaddressfailover......0　　ipaddressstate......　　failoveripaddressoutside...2　　failoveripaddressinside..2.2　　failoveripaddressfailover...2　　failoveripaddressstate...2　　failoverlinkstate　　failoverlanunitprimary　　failoverlaninterfacefailover　　failoverlankey　　failoverlanenable　　failover　　global(outside)...3netmask...　　nat(inside).0.0..0.0.　　static(inside,outside).....2.5netmask...　　access-listacl_outpermittcpanyhost...5eq　　access-groupacl_outininterfaceoutside　　routeoutside...　　　　Secondary设备：　　interfaceethernetfull　　nameifethernet2failoversecurity　　ipaddressfailover......0　　failoveripaddressfailover...2　　failoverlanunitsecondary　　failoverlaninterfacefailover　　failoverlankey　　failoverlanenable　　failover