配置基于LAN的PIX Failover

Failover1 Failover OverviewFailover特性是Cisco安全产品高可用性的一个解决方案，目的是为了提供不间断的服务，当主设备down掉的时候，备用设备能够马上接管主设备的工作，进而保持通信的连通性；Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接；活动设备的接口被monitor，用于发现是否要进行Failover切换；Failover分为failover和Stateful Failover，即故障切换和带状态的故障切换；不带状态的failover在进行切换的时候，所有活动的连接信息都会丢失，所有Client都需要重新建立连接信息，那么这会导致流量的间断；带状态的failover，主设备将配置信息拷贝给备用设备的同时，也会把自己的连接状态信息拷贝给备用设备，那么当主的设备down的时候，由于备用设备上保存有连接信息，因此Client不需要重新建立连接，那么也就不会导致流量的中断；Failover link两个failover设备频繁的在failover link上进行通信，进而检测对等体的状态。

以下信息是通过failover link通信的信息：设备状态（active or standby）；电源状态（只用于基于线缆的failover；）Hello messages （keep-alives）；Network link 状态；MAC地址交换；配置的复制和同步；（Note ：所有通过failover 和stateful failover线缆的信息都是以明文传送的，除非你使用failover key来对信息进行加密；）在stateful link上，拷贝给备用设备的连接状态信息有：NAT 转换表；TCP连接状态；UDP连接状态；ARP表2层转发表（运行在透明模式的时候）HTTP连接状态信息（如果启用了HTTP复制）ISAKMP和IPSec SA表GTP PDP连接数据库以下信息不会拷贝给备用设备：HTTP连接状态信息（除非启用了HTTP复制）用户认证表（uauth）路由表DHCP服务器地址租期Failover包括LAN-Based Failover和Cable-Based Failover；对于PIX设备，只支持基于线缆（Cable-Based）的Failover；Failover linkLAN-Based Failover link可以使用未使用的接口来作为failover link。

注：对于在多CONTEXT的环境中，如何实现故障切换，MAC地址如何工作的理解。

希望大家能够在实验环境中反复测试验证。

1.多个Context模式下：不考虑PIX FAILOVER的情形（网络中只有一个PIX的情形）：1.1数据的分类：1)首先考虑数据的分类，也就是数据包如何进入ASA，数据保进入到ASA主机内部的时候又如何进入到每个Context，此时需要考虑到数据的分类。

2)如果数据是发起的流量，根据接口、数据包的目的MAC地址和在交换机上配置的VLAN来隔离。

如果数据是返回的流量，根据接口，MAC地址，NAT的翻译后的地址来确定流入哪个Context，具体顺序应该是接口优先、MAC地址、NAT匹配。

关于如何区分，上课已经讲过。

1.2缺省情况下：每个CONTEXT的MAC地址的分配1)当配置多CONTEXT的时候，如果同时配置了failover，每个CONTEXT的接口会自动产生一个虚拟的MAC地址，但是如果不配置failover，那么，将会使用物理的接口地址作为mac地址。

2)当配置单Context的时候，缺省都是使用物理接口的MAC地址。

3)一个接口或者一个子接口可以分配给多个Context，但是只能在router模式下进行，桥接的模式下不可以。

道理上课已经讲过。

1.3如何修改缺省的mac地址：4)在单个context的模式下：手工在接口上指定，配置mac atuto，failover 命令指定。

5)在多个context的模式下：配置mac atuto，failover 命令指定。

1.4根据实际情况，当不考虑failover的时候，如果在router模式下，没有配置NAT，而且又将同一个接口（包含子接口）分配给不同的context的时候，必须要修改mac地址。

2.多个Context模式下：考虑PIX FAILOVER的情形2.1Faiover的切换顺序：、1)必须在两个设备上做好Failover的基本配置，具体包括：配置两个failover的主从单元；Failover的接口；ip地址；Failover LAN启用。

ASA Active/Acitve FO注：以下理论部分摘自百度文库：ASA状态化的FO配置，要在物理设备起用多模式，必须创建子防火墙。

在每个物理设备上配置两个Failover组（failover group），且最多配置两个。

Failover特性是Cisco安全产品高可用性的一个解决方案，目的是为了提供不间断的服务，当主设备down掉的时候，备用设备能够马上接管主设备的工作，进而保持通信的连通性；Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接；活动设备的接口被monitor，用于发现是否要进行Failover切换Failover分为failover和Stateful Failover，即故障切换和带状态的故障切换。

不带状态的failover在进行切换的时候，所有活动的连接信息都会丢失，所有Client都需要重新建立连接信息，那么这会导致流量的间断。

带状态的failover，主设备将配置信息拷贝给备用设备的同时，也会把自己的连接状态信息拷贝给备用设备，那么当主的设备down的时候，由于备用设备上保存有连接信息，因此Client不需要重新建立连接，那么也就不会导致流量的中断。

Failover link两个failover设备频繁的在failover link上进行通信，进而检测对等体的状态。

以下信息是通过failover link通信的信息：●设备状态（active or standby）；●电源状态（只用于基于线缆的failover；）●Hello messages （keep-alives）；●Network link 状态；●MAC地址交换；●配置的复制和同步；（Note ：所有通过failover 和stateful failover线缆的信息都是以明文传送的，除非你使用failover key来对信息进行加密；）Stateful link在stateful link上，拷贝给备用设备的连接状态信息有：●NAT 转换表；●TCP连接状态；●UDP连接状态；●ARP表●2层转发表（运行在透明模式的时候）●HTTP连接状态信息（如果启用了HTTP复制）●ISAKMP和IPSec SA表●GTP PDP连接数据库以下信息不会拷贝给备用设备：●HTTP连接状态信息（除非启用了HTTP复制）●用户认证表（uauth）●路由表●DHCP服务器地址租期Failover包括LAN-Based Failover和Cable-Based Failover；对于PIX设备，只支持基于线缆（Cable-Based）的Failover；Failover linkLAN-Based Failover link 可以使用未使用的接口来作为failover link。

PIX防火墙基本配置企业环境企业需求1．内网管理员能安全的对防火墙进行远程网管2．内网用户能以NAT方式上网3．内、外网用户都能访问Web、邮件等服务器实验环境虚拟机的使用1.安装Win_Pcap.cmd#只需安装一次，以后不用再安装2.启动虚拟服务XP&2003.bat3.启动PIX标准版.cmd，在命令提示符下输入如下命令=> list#查看当前虚拟机运行状态=> start LAN#启用一台内网路由器Warining: Starting LAN with no idle-pc value#提示警告没有idle值，此时CPU占用率会达到100% => idlepc get LAN#计算该路由器的idle值，Enter the number of the idlepc value to apply [1-8] or ENTER for no change: 3#输入计算出的合理idle值的序号，一般是带*号的=> idlepc save LAN db#将该路由器的idle值存入数据库，以后相同型号的路由器就不用再计算idle值了=> start W AN=> start DMZ#分别启用外网和DMZ区的路由器4．运行pixstart.bat启动防火墙，但此时CPU占用率会达100% 5．运行BSE目录下的bse.exe程序，将pemu进程的CPU占用率进行限制6．分别telnet 127.0.0.1的3007、3008、3009、8888端口登陆到LAN、W AN、DMZ和PIX上基本配置在三个路由器上输入如下相同命令Router>enRouter#confi tRouter(config)#no ip domain-lookupRouter(config)#enable secret ciscoRouter(config)#service password-encryption Router(config)#line console 0Router(config-line)#password ciscoRouter(config-line)#logging synchronousRouter(config-line)#exec-t 10Router (config-line)#password ciscoRouter (config)#line vty 0 4Router (config-line)#no login#开启telnet便于测试Router (config)#hostname LANLAN(config)#int fa0/0LAN (config-if)#ip add 192.168.0.1 255.255.255.0 LAN (config-if)#no shutRouter (config)#hostname DMZDMZ(config)#int fa0/0DMZ(config-if)#ip add 172.16.0.2 255.255.255.0 DMZ(config-if)#no shuRouter (config)#hostname W ANW AN(config)#int fa0/0W AN(config-if)#ip add 172.16.0.2 255.255.255.0W AN(config-if)#no shupixfirewall(config)# clear configure all#清除当前所有配置pixfirewall(config)# show version#查看版本号pixfirewall(config)# hostname PIXPIX(config)# show interface ip brief#查看当前接口信息，注意pix可以直接在全局模式下查看信息PIX(config)# int e0PIX(config-if)# no shutPIX(config-if)# nameif inside#输入接口的名字，当输入inside时，当前接口的安全级别为100 PIX(config-if)# ip add 192.168.0.254 255.255.255.0PIX(config-if)# int e1PIX(config-if)# no shutPIX(config-if)# nameif outside#输入接口的名字，当输入outside时，当前接口的安全级别为0 PIX(config-if)# ip add 61.0.0.254 255.255.255.0PIX(config-if)# int e2PIX(config-if)# no shutPIX(config-if)# nameif dmz#输入其它名字时，当前接口的安全级别为0 PIX(config-if)# security-level 50#调整当前接口安全级别PIX(config-if)# ip add 172.16.0.254 255.255.255.0 PIX(config)# show interface ip brief#再次查看当前接口信息PIX(config-if)# sh run interface#查看接口配置，这条命令跟路由器不一样PIX(config-if)# show nameif#查看接口安全级别PIX(config-if)# show ip address#查看接口IP地址，这条命令跟路由器不一样PIX(config-if)# ping 192.168.0.1PIX(config-if)# ping 172.16.0.2PIX(config-if)# ping 61.0.0.3#确保PIX能ping通三台路由器PIX(config-if)#wr配置pix的远程网管PIX(config)# passwd shenhui#输入远程管理密码，对telnet和ssh都适用PIX(config)# telnet 192.168.0.1 255.255.255.255 inside#只允许192.168.0.1对pix进行telnet网管，在能用SSH的情况下尽量用后面介绍的SSHpix (config)# domain-name #输入域名、时间及主机名，以便以后生成密钥pix(config)# clock timezone gmt +8#输入时区pix (config)# clock set 20:56:00 31 may 2008#输入当前时间pixfirewall(config)# sh clockPIX(config)# crypto key generate rsa general-keys modulus 1024#产生密钥PIX(config)# ssh 192.168.0.1 255.255.255.255 inside#只允许192.168.0.1对pix进行ssh网管LAN# ssh –l pix 192.168.0.254#用ssh方式远程登陆，pix为用户名，低版本的路由器不支持此命令pix(config)# http 192.168.25.170 255.255.255.255 inside#允许192.168.25.170对防火墙进行https网管pix(config)# username user1 password user1pix(config)# aaa authentication http console LOCAL#对https启用本地认证配置路由DMZ(config)#ip route 0.0.0.0 0.0.0.0 172.16.0.254LAN(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.254LAN#telnet 172.16.0.2#确保内部用户能访问DMZ区，注意此时ping 172.16.0.2是不通的配置NAT，允许内部用户上网PIX(config)# nat-controlPIX(config)# nat (inside) 1 192.168.0.0PIX(config)# global (outside) 1 interface#PIX启用NAT，此处跟路由器很不一样LAN#telnet 61.0.0.3#确保内部用户在通过NAT后能访问Internet，同样ping 172.16.0.2是不通的PIX(config)# sh xlate#查看NAT转换项配置静态NAT，发布DMZ区的服务器pix(config)# static (dmz,outside) tcp interface 80 172.16.0.2 80pix(config)# static (dmz,outside) tcp interface 25 172.16.0.2 25 pix(config)# static (dmz,outside) tcp interface 110 172.16.0.2 110 pix(config)# static (dmz,outside) tcp interface 23 172.16.0.2 23 PIX(config)# sh run static#查看配置的静态NATPIX(config)# access-list OUT-DMZ permit ip any host 61.0.0.254 #配置允许外部到DMZ区的流量PIX(config)# access-group OUT-DMZ in interface outside#将列表应用到外部接口PIX(config)# sh run access-list#查看配置的列表PIX(config)# sh run access-group#查看在接口应用的列表W AN#telnet 61.0.0.254#验证外部用户能访问DMZ区的服务器PIX(config)# show access-list#查看当前列表的匹配情况。

思科防火墙Failover故障倒换实验实验要求：1、根据拓扑为防火墙/内网主机/互联网设备配置IP地址2、配置PIX1（防火墙）配置访问Internet基本配置3、配置PIX2上配置状态化Failover-STANDBY4、配置PIX1上状态化Failover-ACTIVE实验步骤1、根据拓扑为防火墙/内网主机/互联网设备配置 IP 地址；R1：ip route 0.0.0.0 0.0.0.0 192.168.1.2542、配置 PIX1 配置访问 INTERNET 基本配置；PX1:interface e1no shutdownnameif outsidesecurity-level 0ip address 100.1.1.254 255.255.255.0interface e0no shutdownnameif insidesecurity-level 100ip address 192.168.1.254 255.255.255.0route outside 0.0.0.0 0.0.0.0 100.1.1.1access-list NAT permit ip 192.168.1.0 255.255.255.0 any nat (inside) 1 access-list NATglobal (outside) 1 interfacefixup protocol icmp3、配置 PIX2 上配置状态化 Failover-STANDBY；interface e2no shutdowninterface e3no shutdownfailoverfailover lan enablefailover key ciscofailover lan unit secondaryfailover lan interface Failover e2failover interface ip Failover 10.1.12.1 255.255.255.0 standby 10.1.12.2failover link sta-failover e3failover interface ip sta-failover 10.2.12.1 255.255.255.0 standby 10.2.12.24、配置 PIX1 上状态化 Failover-ACTIVE。

ASA5520防火墙的安装配置说明一、通过超级终端连接防火墙。

先将防火墙固定在机架上，接好电源；用随机带来的一根蓝色的线缆将防火墙与笔记本连接起来。

注意：该线缆是扁平的，一端是RJ-45接口，要接在防火墙的console端口；另一端是串口，要接到笔记本的串口上.建立新连接，给连接起个名字。

选择COM口，具体COM1还是COM3应该根据自己接的COM来选择，一般接COM1就可以。

选择9600,回车就可以连接到命令输入行。

二、防火墙提供4种管理访问模式：1．非特权模式。

防火墙开机自检后，就是处于这种模式。

系统显示为firewall> 2．特权模式。

输入enable进入特权模式，可以改变当前配置。

显示为firewall# 3．配置模式。

在特权模式下输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。

显示为firewall(config)#4．监视模式。

PIX防火墙在开机或重启过程中，按住Escape键或发送一个“Break”字符，进入监视模式。

这里可以更新操作系统映象和口令恢复。

显示为monitor>三、基本配置步骤在PC机上用串口通过cisco产品控制线连接防火墙的Console口（9600-N-8-1），使用超级终端连接。

在提示符的后面有一个大于号“>”，你处在asa用户模式。

使用en或者enable命令修改权限模式。

asafirewall> en //输入en 或 enable 回车Password： //若没有密码则直接回车即可asafirewall# //此时便拥有了管理员模式，此模式下可以显示内容但不能配置，若要配置必须进入到通用模式asafirewall# config t // 进入到通用模式的命令asafirewall(config)# hostname sjzpix1 //设置防火墙的名称Sjzpix1(config)# password zxm10 //设置登陆口令为zxm10Sjzpix1(config)# enable password zxm10 //设置启动模式口令，用于获得管理员模式访问1．配置各个网卡Sjzpix1(config)# interface GigabitEthernet0/0 //配置防火墙的E0 端口Sjzpix1(config-if)# security-level 0 //设置成最低级别Sjzpix1(config-if)# nameif outside //设置E0 端口为外部端口Sjzpix1(config-if)# speed auto //设置成自动设置网口速率Sjzpix1(config-if)# ip address 10.0.1.50 255.255.255.0 standby 10.0.1.51// 10.0.1.50 为该防火墙分配的公网IP，255.255.255.0为该防火墙公网IP对应的掩码，若该防火墙没有主备用方式则配置命令中的红色字体部分不需要配置。

主题管理记录mdyuki1016: 退出| 短消息| 搜索 | 我的| 控制面板| 帮助NetYourLife» 网络安全» （配置贴）PIX / ASA A/A 模式配置参考！‹‹ 上一主题| 下一主题››投票打印| 推荐| 订阅| 收藏标题: （配置贴）PIX / ASA A/A 模式配置参考！本主题由sniffer_zhao 于2007-5-12 08:01 PM 设置高亮sniffer_zhao超级版主UID 34精华 24积分 5409帖子 2017思科币 1576 元阅读权限 150注册 2006-10-12来自 网络解决方案厂商状态 离线 #1 发表于 2007-5-12 08:01 PM 资料 文集 短消息（配置贴）PIX / ASA A/A 模式 配置参考！ sh run: Saved PIX Version 7.0(2) <system> ! interface Ethernet0 ! interface Ethernet1 ! interface Ethernet2 ! interface Ethernet3 ! interface Ethernet4 description LAN/STATE Failover Interface!interface Ethernet5shutdown!enable password 8Ry2YjIyt7RRXU24 encryptedhostname pix-primaryftp mode passivepager lines 24failoverfailover lan unit primaryfailover lan interface lanfailoverEthernet4failover lan enablefailover polltime unit msec 500 holdtime 3failover polltime interface 3failover link lanfailover Ethernet4failover interface ip lanfailover 192.168.1.1255.255.255.0 standby 192.168.1.2failover group 1preemptfailover group 2secondarypreemptno asdm history enablearp timeout 14400console timeout 0admin-context admincontext adminconfig-url flash:/admin.cfg!context aallocate-interface Ethernet0allocate-interface Ethernet1config-url flash:/a.cfgjoin-failover-group 1!context ballocate-interface Ethernet2allocate-interface Ethernet3config-url flash:/b.cfgjoin-failover-group 2!pix-primary# sh failFailover OnCable status: N/A - LAN-based failover enabled Failover unit PrimaryFailover LAN Interface: lanfailover Ethernet4 (up) Unit Poll frequency 500 milliseconds, holdtime 3 seconds Interface Poll frequency 3 secondsInterface Policy 1Moitored Interfaces 4 of 250 maximumGroup 1 last failover at: 04:19:42 UTC Jan 13 2006 Group 2 last failover at: 04:19:29 UTC Jan 13 2006This host: PrimaryGroup 1 State: ActiveActive time: 114 (sec)Group 2 State: Standby ReadyActive time: 0 (sec)a Interface outside (172.16.0.1): Normala Interface inside (10.0.0.1): Normalb Interface outside (172.16.1.2): Normalb Interface inside (10.0.1.2): NormalOther host: SecondaryGroup 1 State: Standby ReadyActive time: 147 (sec)Group 2 State: ActiveActive time: 861 (sec)a Interface outside (172.16.0.2): Normala Interface inside (10.0.0.2): Normalb Interface outside (172.16.1.1): Normalb Interface inside (10.0.1.1): NormalStateful Failover Logical Update StatisticsLink : lanfailover Ethernet4 (up)Stateful Objxmit xerr rcv rerrGeneral 20 0 22 0syscmd 16 0 16 0uptime 0 0 0 0RPCservices 0 0 0 0 TCPconn 0 0 0 0UDPconn 0 0 0 0ARPtbl 4 0 6 0Xlate_Timeout 0 0 0 0Logical Update Queue InformationCur Max TotalRecv Q: 0 1 22Xmit Q: 0 1 20pix-primary# changeto context apix-primary/a# sh run!interface Ethernet0nameif outsidesecurity-level 0ip address 172.16.0.1 255.255.255.0 standby 172.16.0.2 !interface Ethernet1nameif insidesecurity-level 100ip address 10.0.0.1 255.255.255.0 standby 10.0.0.2!enable password 8Ry2YjIyt7RRXU24 encryptedpasswd 2KFQnbNIdI.2KYOU encryptedhostname aaccess-list inpix extended permit ip any anypager lines 24mtu outside 1500mtu inside 1500monitor-interface outsidemonitor-interface insideno asdm history enablearp timeout 14400static (inside,outside) 10.0.0.10 10.0.0.10 netmask 255.255.255.255access-group inpix in interface outsideroute outside 0.0.0.0 0.0.0.0 172.16.0.254 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmptelnet timeout 5ssh timeout 5!class-map inspection_defaultmatch default-inspection-traffic!policy-map global_policyclass inspection_defaultinspect dns maximum-length 512inspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcp!pix-primary/a# sh failFailover OnLast Failover at: 04:19:42 UTC Jan 13 2006This context: ActiveActive time: 145 (sec)Interface outside (172.16.0.1): NormalInterface inside (10.0.0.1): NormalPeer context: Standby ReadyActive time: 147 (sec)Interface outside (172.16.0.2): NormalInterface inside (10.0.0.2): NormalStateful Failover Logical Update StatisticsStatus: Configured.Stateful Objxmit xerr rcv rerrRPCservices 0 0 0 0 TCPconn 0 0 0 0UDPconn 0 0 0 0ARPtbl 4 0 6 0Xlate_Timeout 0 0 0 0pix-primary/a# changeto context bpix-primary/b# sh run!interface Ethernet2nameif outsidesecurity-level 0ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2 !interface Ethernet3nameif insidesecurity-level 100ip address 10.0.1.1 255.255.255.0 standby 10.0.1.2!enable password 8Ry2YjIyt7RRXU24 encryptedpasswd 2KFQnbNIdI.2KYOU encryptedhostname baccess-list inpix extended permit ip any anypager lines 24mtu outside 1500mtu inside 1500monitor-interface outsidemonitor-interface insidearp timeout 14400static (inside,outside) 10.0.1.10 10.0.1.10 netmask 255.255.255.255access-group inpix in interface outsideroute outside 0.0.0.0 0.0.0.0 172.16.1.254 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmptelnet timeout 5ssh timeout 5!pix-primary/b# sh failFailover OnLast Failover at: 04:19:29 UTC Jan 13 2006This context: Standby ReadyActive time: 0 (sec)Interface outside (172.16.1.2): NormalInterface inside (10.0.1.2): NormalPeer context: ActiveActive time: 914 (sec)Interface outside (172.16.1.1): NormalInterface inside (10.0.1.1): NormalStateful Failover Logical Update StatisticsStatus: Configured.Stateful Objxmit xerr rcv rerrRPCservices 0 0 0 0 TCPconn 0 0 0 0UDPconn 0 0 0 0ARPtbl 0 0 0 0Xlate_Timeout 0 0 0 0pix-primary/b# changeto context syspix-primary# sh failFailover OnCable status: N/A - LAN-based failover enabled Failover unit PrimaryFailover LAN Interface: lanfailover Ethernet4 (up) Unit Poll frequency 500 milliseconds, holdtime 3 seconds Interface Poll frequency 3 secondsInterface Policy 1Monitored Interfaces 4 of 250 maximumGroup 1 last failover at: 04:19:42 UTC Jan 13 2006 Group 2 last failover at: 04:19:29 UTC Jan 13 2006This host: PrimaryGroup 1 State: ActiveActive time: 193 (sec)Group 2 State: Standby ReadyActive time: 0 (sec)a Interface outside (172.16.0.1): Normala Interface inside (10.0.0.1): Normalb Interface outside (172.16.1.2): Normalb Interface inside (10.0.1.2): NormalOther host: SecondaryGroup 1 State: Standby ReadyActive time: 147 (sec)Group 2 State: ActiveActive time: 940 (sec)a Interface outside (172.16.0.2): Normala Interface inside (10.0.0.2): Normalb Interface outside (172.16.1.1): Normalb Interface inside (10.0.1.1): NormalStateful Failover Logical Update StatisticsLink : lanfailover Ethernet4 (up)Stateful Objxmit xerr rcv rerrGeneral 30 0 32 0 syscmd 26 0 26 0uptime 0 0 0 0 RPCservices 0 0 0 0 TCPconn 0 0 0 0UDPconn 0 0 0 0ARPtbl 4 0 6 0Xlate_Timeout 0 0 0 0Logical Update Queue InformationCur Max TotalRecv Q: 0 1 32Xmit Q: 0 1 30pix-primary#如果网络已经成为江湖！！！缺乏安全防范的你如何敢说你可以笑傲这个江湖？？？引用报告回复[广告] 关注思科网助计划, 换取思科绝版纪念品,帮助偏远地区师生投票。

防火墙故障切换一、实验拓扑二、知识了解第一个：Failover 线，又叫心跳线，是一条故障切换线；参与failover 的防火墙通过这条线决定本身的状态，即选举主备或在主设备发生故障时，次设备成为主设备继续提供安全服务；可以是一条专用Cable 或LAN 线；传递配置信息和检测信息，以及状态信息。

第二个；Statful failover 线，又叫状态线；时刻传递状态信息从主到次；接该线的接口必须大于等于用户数据接口的速率（inside 、outside 接口）；可以使用一个专用以太接口或共享LAN-base 的Failover 线，也可以共享用户但不建议。

第三个；Failover 组网拓扑（方式）：基于Cable 、基于LAN ；基于Cable ：专用线缆，仅限于PIX ，ASA 不支持；专用的Cable 线能快速检测对等体电源失效；备份设备不用配置，不占有以太接口；防火墙内外口、DMZ 区各占用一个子网；主备关系由电缆决定；Primary 和Secondary ；限制，Cable 线只有6Feet ；拷贝速度慢，115Kb/s ；基于LAN ：使用以太网互联传递Failover 信息；配置信息等；为了Failover 线是活动的，需要在防火墙间加交换机；禁用交换机的DTP 、PAGP 等协议，手工配置access 、portfast 等；切换时，Failover 线不交换IP 、MAC ；距离不受限制；但是交换机容易单点故障；第四个：Failover 工作模式 ：A/S 主备、A/A 负载均衡；强制切换为主Failover activeA/S 主备特点：一台设备为主，另外一台为备份；同时只有一台防火墙处理用户数据;主设备发生故障时，次设备成为主设备并接管原主设备的所有接口Ip 地址和MAC 地址；对于用户来说，整个切换是透明的。

A/A 负载均衡：两台防火墙同时都处理用户数据，把每台防火墙划分为两个虚拟防火墙，分Fa0/0Fa0/1Fa0/3Fa0/0别挑选出一个Context组成failover 组，共两组；每个组挑出一个Active防火墙，Active设备，Active设备分别属于不同物理防火墙；standby设备成为Active 设备时接管原active设备的接口IP地址和MAC地址；对于用户来说，整个切换过程是透明的。

防火墙总结一．防火墙类型1.包过滤防火墙：具有过滤数据包的防火墙或路由器，表现形式为ACL。

基于源目IP，源目端口和协议。

工作于3，4层。

优点：处理速度快，易于匹配绝大多数的3，4层报头信息。

缺点：ACL配置复杂；不能阻止应用层的攻击；不支持用户的连接认证；不能检测或阻止TCP/IP攻击；流量单向返回问题。

2.状态防火墙：跟踪连接状态，构建相关状态表项，以允许其特定流量的返回。

工作在3，4，5层。

连接状态：面向连接协议（TCP：有控制字段）；非面向连接协议（UDP,ICMP：利用空闲计时器来表示其状态。

）空闲计时器：流量必须在一定时间返回，否则删除其状态表项。

优点：解决了单向返回流量（解决方法：开放大于1023的断口；用established）;解决了IP欺骗。

缺点：不能阻止应用层的攻击；不支持用户的连接认证；对设备开销大。

存在的问题：附加连接；内嵌IP地址。

应用审查：FTP：包括主动模式（标准模式）和被动模式。

控制连接是21号端口，数据连接是20号断口。

是通过动态的打开协商好的端口。

DNS：普通状态防火墙不能转换内嵌的IP地址。

3.应用网关防火墙（AGF）：一般使用软件来完成，首先截取用户初始化连接请求并发送给用户一个认证信息的请求，认证通过后允许流量通过，存储合法用户信息。

工作在3，4，5，7层。

分为：连接网关防火墙（CGF）和直通代理防火墙（CTP－cut-through proxy）。

CGF：认证通过后，对每个用户数据包执行应用层检测，非常安全但处理慢。

CTP：认证通过后，对连接控制不感兴趣，只作3，4，层过滤处理，速度快，但是安全性降低。

优点：可以支持连接认证，能检测应用层数据。

缺点：用软件来处理，消耗系统资源；仅支持很少应用（http,telnet,https,ftp）；可能需要额外的客户端软件。

4.硬件架构实现技术：Intel X86架构（基于软件）；ASIC硬件加速技术(灵活性差，速度快)；NP加速技术（软件）。

--FWSM 结构：该模块内部体系主要由一个双Intel 奔腾3处理器和3个IBM的NP，以及相应的ASIC芯片组成。

其中NP1和NP2各有3条GE连接到C6K/C7600的交换矩阵或背板总线上，并自动创建一个6G的802.1Q的trunking Etherchannel。

--C6k+FWSM：FWSM对于C6K来说，实际上相当于一个外部的高性能PIX防火墙，通过6个GE连接到C6K上。

可以在C6K上配置基于session的6个GE间流量负载均衡。

要求的6500配置为SUP2/MSFC2，Native IOS 12.1(13)E以上版本。

实现64byte情况下3Mpps的最大吞吐，1518byte 情况下5G最大带宽，100个VLAN接口，128K ACL设置，LAN Failover等等。

交换机VLAN 2-4、300-301、600做FIREWALL的虚拟接口show runBuilding configuration...Current configuration : 12437 bytesversion 12.2service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname bb6506-1!boot system flash sup-bootflash:logging snmp-authfailenable secret 5 $1$//Gz$SjNb0DKiUKWHUSruk1FZs.!clock timezone PDT -7firewall module 2 vlan-group 10 设置防火墙的VLANfirewall vlan-group 10 2-4,300,301,600ip subnet-zerono ip domain-lookupmpls ldp logging neighbor-changesno mls flow ipno mls flow ipv6mls cef error action freeze!spanning-tree mode pvstno spanning-tree optimize bpdu transmissiondiagnostic cns publish s.device.diag_resultsdiagnostic cns subscribe s.device.diag_commands!redundancymode ssomain-cpuauto-sync running-configauto-sync standard!vlan internal allocation policy ascendingvlan access-log ratelimit 2000!interface Port-channel1 设置PORT-CHANNEL 作为FIREWALL-FAILOVER连接（最好用4-6个GE接口做捆绑）no ip addressswitchportswitchport trunk encapsulation dot1qswitchport mode trunk!interface GigabitEthernet6/1no ip addressswitchportswitchport access vlan 2switchport mode access!interface GigabitEthernet6/2no ip addressswitchportswitchport access vlan 2switchport mode access!interface GigabitEthernet6/3 试验时只作了2个接口做捆绑no ip addressswitchportswitchport mode trunkchannel-group 1 mode oninterface GigabitEthernet6/4no ip addressswitchportswitchport mode trunkchannel-group 1 mode on!interface Vlan600 连接防火墙OUTSIDE接口ip address 10.130.1.2 255.255.255.240standby 255 ip 10.130.1.1standby 255 priority 110standby 255 preemptrouter ripversion 2redistribute staticnetwork 10.0.0.0!ip classlessip route 10.130.2.0 255.255.255.0 10.130.1.4 配置到防火墙的静态路由ip route 10.130.3.0 255.255.255.0 10.130.1.4ip route 10.130.4.0 255.255.255.0 10.130.1.4no ip http serversnmp-server community shanghai ROsnmp-server community topsecret RW!dial-peer cor custom!line con 0line vty 0 4password ciscologin!endbb6506-1#show firewall vlan-groupGroup vlans----- ------10 2-4,300-301,600bb6506-1#show firewall module 2 trafficFirewall module 2:Specified interface is up (connected)line protocol is upHardware is EtherChannel, address is 0001.c9df.7b7d (bia 0001.c9df.7b7d) MTU 1500 bytes, BW 6000000 Kbit, DLY 10 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation ARPA, loopback not setFull-duplex, 1000Mb/sinput flow-control is off, output flow-control is unsupportedMembers in this channel: Gi2/1 Gi2/2 Gi2/3 Gi2/4 Gi2/5 Gi2/6Last input never, output never, output hang neverLast clearing of "show interface" counters neverInput queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifoOutput queue: 0/40 (size/max)5 minute input rate 1000 bits/sec, 1 packets/sec5 minute output rate 3000 bits/sec, 5 packets/sec3842 packets input, 308227 bytes, 0 no bufferReceived 84 broadcasts, 0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored0 input packets with dribble condition detected13174 packets output, 1220828 bytes, 0 underruns0 output errors, 0 collisions, 6 interface resets0 babbles, 0 late collision, 0 deferred0 lost carrier, 0 no carrier0 output buffer failures, 0 output buffers swapped outbb6506-1#show firewall module 2 stateFirewall module 2:Switchport: EnabledAdministrative Mode: trunkOperational Mode: trunkAdministrative Trunking Encapsulation: dot1qOperational Trunking Encapsulation: dot1qNegotiation of Trunking: OffAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)Trunking VLANs Enabled: 2-4,300,301,600Pruning VLANs Enabled: 2-1001Vlans allowed on trunk:2-4,300-301,600Vlans allowed and active in management domain: 2-4,300-301,600Vlans in spanning tree forwarding state and not pruned:2-4,300-301,600FWSM# show runFWSM Version 2.3(1)nameif vlan2 vlan2inter security80 设置试验的VLAN接口（防火墙接口，和交换机nameif vlan3 vlan3inter security50 对应的VLAN）nameif vlan4 vlan4inter security50nameif vlan600 outside security0enable password 2KFQnbNIdI.2KYOU encryptedpasswd 2KFQnbNIdI.2KYOU encryptedhostname FWSMftp mode passivefixup protocol dns maximum-length 512fixup protocol ftp 21fixup protocol h323 H225 1720fixup protocol h323 ras 1718-1719fixup protocol rsh 514fixup protocol sip 5060no fixup protocol sip udp 5060fixup protocol skinny 2000fixup protocol smtp 25fixup protocol sqlnet 1521same-security-traffic permit inter-interface 允许同安全级别的VLAN接口之间通讯access-list deny-flow-max 4096access-list alert-interval 300access-list vlan2inter extended permit ip any any 设置ACLaccess-list vlan3inter extended permit ip any anyaccess-list vlan4inter extended permit ip any anyaccess-list outin extended permit ip any anyaccess-list outside extended permit icmp any anyaccess-list outside extended permit ip any anypager lines 24logging buffer-size 4096mtu vlan2inter 1500mtu vlan3inter 1500mtu vlan4inter 1500mtu outside 1500ip address vlan2inter 10.130.2.1 255.255.255.0 standby 10.130.2.2 设置IP地址和ip address vlan3inter 10.130.3.1 255.255.255.0 standby 10.130.3.2 FAILOVER 地址ip address vlan4inter 10.130.4.1 255.255.255.0 standby 10.130.4.2ip address outside 10.130.1.4 255.255.255.0 standby 10.130.1.5failover 下面是FAILOVER参数，301 VLAN 是STATEFUL连接failover lan unit primaryfailover lan interface faillink vlan 300failover polltime unit 1 holdtime 15failover polltime interface 15failover interface-policy 50%failover replication httpfailover link state vlan 301failover interface ip faillink 192.168.253.1 255.255.255.252 standby 192.168.253.2 failover interface ip state 192.168.253.5 255.255.255.252 standby 192.168.253.6 monitor-interface vlan2intermonitor-interface vlan3intermonitor-interface vlan4intericmp permit any vlan2intericmp permit any vlan3intericmp permit any vlan4intericmp permit any outsideno pdm history enablearp timeout 14400nat (vlan2inter) 0 0.0.0.0 0.0.0.0 设置不做NAT转换nat (vlan3inter) 0 0.0.0.0 0.0.0.0nat (vlan4inter) 0 0.0.0.0 0.0.0.0static (vlan2inter,vlan3inter) 10.130.2.0 10.130.2.0 netmask 255.255.255.0 设置安全低到高的地址映射static (vlan2inter,vlan4inter) 10.130.2.0 10.130.2.0 netmask 255.255.255.0 static (vlan2inter,outside) 10.130.2.0 10.130.2.0 netmask 255.255.255.0static (vlan3inter,outside) 10.130.3.0 10.130.3.0 netmask 255.255.255.0static (vlan4inter,outside) 10.130.4.0 10.130.4.0 netmask 255.255.255.0应用策略到各个接口，注意高安全级别到低安全级别的VLAN接口也要做ACL，默认的情况是不做ACL，任何接口之间都是不通的。

防火墙 Failover一、failover相关概念：1、failover线：又叫心跳线，是一条故障切换线，参与failover 的防火墙通过这条线决定本身的状态。

Failover 线有2种：专用的cable 线和LAN线2、statful failover线：即状态线，时刻传递状态信息由主到次，该线的带宽必须大于等于用户接口的带宽，状态有3种：专用以太口或共享LAN-base的failover线或共享用户接口(不建议）3、failover 组网拓扑：有2种：基于专用cable和基于LAN二、试验拓扑：三、试验配置：FW5(config# activation-key 0x5236f5a7 0x97def6da 0x732a91f5 0xf5deef57（添加UR许可，有UR许可才支持Failover）1、基于Lan base的A/S模式FW5（活动设备）FW5(config# failover link bluefox e3(指定Failover状态接口）FW5(config# failover interface ip bluefox 192.168.6.5 255.255.255.0 standby 192.168.6.6（配置状态接口的IP）FW5(config# interface e3（打开接口）FW5(config-if# no shFW5(config-if# exitFW5(config# failover lan enable （启用lan base）FW5(config# failover lan unit primary （指定该设备为主设备）FW5(config# failover lan interface bluefox e3（指定Failover线（可与状态线共用））FW5(config# failover interface ip bluefox 192.168.6.5 255.255.255.0 standby 192.168.6.6（共用时可不配）FW5(config# failoverFW5(config# interface e0FW5(config-if# nameif outsideFW5(config-if# ip add 192.168.7.5 255.255.255.0 standby 192.168.7.6FW5(config-if# no shFW5(config-if# exitFW5(config# interface e1FW5(config-if# nameif insideFW5(config-if# ip add 192.168.5.5 255.255.255.0 standby 192.168.5.6FW5(config-if# no shFW5(config-if# exitFW5(config# interface e2FW5(config-if# nameif dmzFW5(config-if# security-level 50FW5(config-if# ip add 192.168.8.5 255.255.255.0 standby 192.168.8.6 FW5(config-if# no shFW5(config-if# exitFW6（备份设备）FW6(config# interface e3FW6(config-if# no shFW6(config-if# exit（打开状态线）FW6(config# failover lan enable （启用lan base）FW6(config# failover lan unit secondary （指定该设备为辅助设备）FW6(config# failover lan interface bluefox e3（指定Failover线）FW6(config# failover interface ip bluefox 192.168.6.5 255.255.255.0 standby 192.168.6.6FW6(config# failover（启用Failover）测试与分析：FW5FW6FW5由以上各图知FW5为主、FW6为备份设备.在FW6上手动抢占FW6已成为主设备。

【没有文档】之pix上基于电缆的failover技术总结版（本文只为经验总结，详细技术内容请查阅相关文档）Failover简单的说就是一种冗余技术，根据使用的线分为基于failover电缆（心跳线）的和基于以太网的，配置略有不同，这里主要介绍的是基于failover电缆的。

Failover技术在网上有许多文档，虽然你看来看去最后会发现其实不超过3份…但对于技术的介绍已经很详细，这里不一一介绍，有需要的自行查阅；这里主要介绍的实际操作是遇到的问题。

准备工作：两台PIX要“完全”相同，既型号、模块、内存大小、IOS版本和连线都相同。

关于PIX的型号要注意501、505、506e是不支持failover的，不过在现在连PIX都很少见得时代一般是不会遇到这些设备的。

模块和连线相同这是为了保证能够同步配置，连模块都没有的自然是学不到配置的，还有一点就是要有接心跳线的串口。

PIX的IOS比较特别，只能进不能出，也就是说你不能从PIX把IOS考出来（很多地方说7.0以上版本可以实现，但是本人在7.2的IOS证明会报错“erroe copying flash:/image.bin(inappropriate file type or format)”，而配置文件可以考出来说明不是TFTP问题）所以最好准备好一个IOS以防两台设备IOS不同时使用。

和版本有关的还有个license，license是要从思科购买的授权，有R\FO\UR三种模式，可以在show ver中看到“this pix has an ****** license”，R（限制）是不能支持failover的，FO-UR和UR-UR的failover是没有问题的，两个FO的目前不确认是否有问题。

配置：配置的模式有两种，一种是最普通的failover，一种是Stateful Failover。

区别在于前者是主设备挂了切到备用设备，但当前的TCP链接等会断开需要重连，偶后者可以实现无缝的切换。

1、failover启动不成功会自动变为failover off模式，做好正确配置以后再conf t 视图下使用命令“failover”重新启动2、VPN-3DES-AES状态不匹配不能开启failover（分别为enable/disabled状态），使用SerialNumber: <JMX1239L185>申请license key之后用命令ciscoasa（config）#activetion-key <072ec77b 3404ff1b 986395a4 8c08b8584e00118b>激活，完成后reload3、failover配置需要完成：asa1(config&shy;if)# failover lan enable //启用基于LAN的Failover asa1(config)# failover lan unit primary //指定设备的角色asa1(config)# failover lan interface failover e3 //指定Failover 接口INFO: Non&shy;failover interface config is cleared on Ethernet3 and its sub&shy;interfacesasa1(config)# failover interface ip failover 192.168.1.1 255.255.255.0 stan 192.168.1.2 //配置Failover IP地址；asa1(config)# failover lan key ccxx //配置Failover keyasa1(config)# failover //启用Failover；注意，此命令一定要先在Active上输入，否则会引起配置拷错；将一个接口指定为failover 接口后，再show inter 的时候，该接口就显示为：interface Ethernet3description LAN Failover Interface配置ASA2（standby）pixfirewall(config)# inte e3pixfirewall(config&shy;if)# no shutpixfirewall(config&shy;if)# exitpixfirewall(config)# failover lan enablepixfirewall(config)# failover lan unit secondarypixfirewall(config)# failover lan interface failover e3INFO: Non&shy;failover interface config is cleared on Ethernet3 and its sub&shy;interpixfirewall(config)# failover inter ip failover 192.168.1.1 255.255.255.0 stand 192.168.1.2pixfirewall(config)# failover key ccxxpixfirewall(config)# failoverpixfirewall(config)# .CISCO PIX/ASA Failover 技术也可以在多个CONTEXT上运行，从而实现负载和冗余功能。

思科PIX防火墙设置命令详解设置当你第一次启动PIX防火墙的时候，你应该看到一个这样的屏幕显示：你将根据提示回答“是”或者“否”来决定是否根据这个互动提示来设置PIX防火墙。

对这个问题回答“否”，因为你要学习如何真正地设置防火墙，而不仅仅是回答一系列问题。

然后，你将看到这样一个提示符：pixfirewall>在提示符的后面有一个大于号“>”，你处在PIX用户模式。

使用en或者enable命令修改权限模式。

在口令提示符下按下“enter”键。

下面是一个例子：pixfirewall> enPassword:pixfirewall#你现在拥有管理员模式，可以显示内容，但是，你必须进入通用设置模式来设置这个PIX防火墙。

现在让我们学习PIX防火墙的基本设置：PIX防火墙的基本设置我所说的基本设置包括三样事情：·设置主机名·设置口令（登录和启动）·设置接口的IP地址·启动接口·设置一个默认的路由在你做上述任何事情之前，你需要进入通用设置模式。

要进入这种模式，你要键入：pixfirewall# config tpixfirewall(config)#要设置主机名，使用主机名命令，像这样：pixfirewall(config)# hostname PIX1PIX1(config)#注意，提示符转变到你设置的名字。

下一步，把登录口令设置为“cisco”（思科），像这样：PIX1(config)# password ciscoPIX1(config)#这是除了管理员之外获得访问PIX防火墙权限所需要的口令。

现在，设置启动模式口令，用于获得管理员模式访问。

PIX1(config)# enable password ciscoPIX1(config)#现在，我们需要设置接口的IP地址和启动这些接口。

同路由器一样，PIX没有接口设置模式的概念。

要设置内部接口的IP地址，使用如下命令：PIX1(config)# ip address inside 10.1.1.1 255.0.0.0PIX1(config)#现在，设置外部接口的IP地址：PIX1(config)# ip address outside 1.1.1.1 255.255.255.0PIX1(config)#下一步，启动内部和外部接口。