配置PIX Failover(三)

发表于:2007-06-23来源:作者:点击数: 标签:
验证Failover配置 可以使用如下步骤验证Failover是否配置成功: 第一步 使用如下配置将log信息定向到log server logging host inside 10.1.1.5 logging trap de bug ging logging on log server的配置参见论坛精华区的:pix log发送到 linux syslog server.

   
  验证Failover配置
  
  可以使用如下步骤验证Failover是否配置成功:
  
  第一步 使用如下配置将log信息定向到log server
  logging host inside 10.1.1.5
  logging trap debugging
  logging on
  

  log server的配置参见论坛精华区的:pix log发送到linux syslog server.一贴。
  logging trap debugging 命令申明所有级别的log信息都发送到log server上面,这样log信息会变得很多,在系统调试阶段这很有用。可以使用logging trap error命令减少发出的logo信息数目,这样就会只发送Alert\critical condition和error信息。
  
  第二步 关闭主PIX电源,测试备用的PIX工作是否工作正常。
  
  第三步 使用show failover命令检查备用pix是否处于活动状态。
  
  第四步 使用FTP在不同的接口间传送一个大文件;
  
  第五步 使用show interface 确认已经开始处理数据了。
  
  第六步 也可以使用debug fover option 命令.option字段有如下选项:
   配置PIX Failover(三)(图一)
  配置PIX Failover(三)(图二)
  第七步 准备好后,打开主PIX的电源,它会自动切换为活动的PIX。系统会显示如下信息:
  
  "Verifying LAN-Based Failover Configuration:"
  
  
  
  
  I  在PIX 6.2中如果实施了基于LAN的Failover,show failover命令可以提供更为详细的信息,例1就 是一个基于LAN的failover在使用show failover命令的输出:
  
  例1 基于LAN的failover的show failover命令输出:
  
  pix(config)# show failover
  Failover On
  Cable status: Normal
  Reconnect timeout 0:00:00
  Poll frequency 15 seconds
  This host: Primary - Active
  Active time: 253515 (sec)
  Interface faillink (192.168.3.1): Normal
  Interface outside (172.23.58.70): Normal
  Interface inside (192.168.2.1): Normal
  Other host: Secondary - Standby
  Active time: 0 (sec)
  Interface faillink (192.168.3.2): Normal
  Interface outside (172.23.58.71): Normal
  Interface inside (192.168.2.2): Normal
  Stateful Failover Logical Update Statistics
  Link : faillink
  Stateful Obj xmit xerr rcv rerr
  General 34177 0 34183 0
  sys cmd 34175 0 34173 0
  up time 2 0 2 0
  xlate 0 0 0 0
  tcp conn 0 0 8 0
  udp conn 0 0 0 0
  ARP tbl 0 0 0 0
  RIP Tbl 0 0 0 0
  >
  Logical Update Queue Information
  Cur Max Total
  Recv Q: 0 1 34184
  Xmit Q: 0 1 34179
  >
  LAN-based Failover is Active
  interface dmz (171.69.39.200) Normal, peer (171.69.39.201): Normal:
  
  
  命令show failover lan可以只显示基于LAN的failover的状态。命令show failover lan detail提供了更为详细的信息,
  
  例2 show failover lan detail命令输出:
  
  pix(config)# show failover lan detail
  Lan Failover is Active
  This Pix is Primary
  Command Interface is dmz
  Peer Command Interface IP is 171.69.39.201
  My interface status is 0x1
  Peer interface status is 0x1
  Peer interface downtime is 0x0
  Total msg send: 103093, rcvd: 103031, droped: 0, retrans: 13, send_err: 0
  Total/Cur/Max of 51486:0:5 msgs on retransQ
  msgs on retransQ if any
  LAN FO cmd queue, count: 0, head: 0x0, tail: 0x0
  Failover config state is 0x5c
  Failover config poll cnt is 0
  Failover pending tx msg cnt is 0
  Failover Fmsg cnt is 0
  
  pix os6.2还提供了4个新的专门用于基于LAN failover调试的debug选项:ailover:
  
  lanrx—显示基于LAN的failover接收进程的调试信息
  lanretx—显示基于LAN的failover转发进程的调试信息
  lantx—显示基于LAN的failover发送进程的调试信息
  lancmd —显示基于LAN的failover主线程的调试信息
  附加的Failover信息
  
  
  Failover通讯
  在一个Failover对中的两台PIX通过一个局域网连接或专用的Failover电缆进行通讯。Failover电缆是一个工作在115.2Kbps的改进过的RS-232串行电缆。在数据中包含有主从PIX的标志位。
  
  两个PIX每隔15秒在所有的接口和Failover电缆上发送一个特殊的Failover的"hello"包,可以使用failover poll seconds命令修改"hello"包的发送间隔(最小为3秒,最大15秒)。在使用stateful failover时,该值应该小一些。减少该值,可以更快的检测到失效,但也会引起一些不必要的切换。
  
  PIX上的Failover特性监视着两台PIX的Failover通讯、电源状态、接口上的hello包状态。如果连续有两个hello包未收到,Failover进程开始检查接口的状态,如果主PIX有任何一个接口失效了,那么控制权就移交到备用PIX上面。
  
  只有在PIX上有100Mbps或千兆网连接时才可以使用Stateful Failover,启用Stateful Failover后,每个connections的状态都在两个PIX之间进行同步。没有启用Stateful Failover的情况下,备用PIX并不维护每个连接的状态信息,这就意味着在失效发生时,所有的连接都将复位,客户端必须重新发起连接。
  
  Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。
  
  Failover 使用如下特性去检查对方是否处于可用状态
  
  链接状态测试—这是检查网卡本身的,如果一个接口卡没处于UP状态,刚认为该接口出现了故障
  网络活动性测试—测试网络的活动状态,PIX将统计5秒内收到的所有的包,只要在这个时间范围内收到任何一个包,就谁该接口正常操作,并停止测试,如果没有任何信息收到,则进行ARP测试。
  ARP 测试—ARP测试将读取PIX的ARP cache中最近的10条记录,PIX将以一次条的方式向这些主机发出ARP查询, 在每个查询过后,将等待5秒,如果5少内有响应则说明网络正常,如果没有响应,则进行下一条,如果所有的都没有响应,进行Ping测试。
  广播Ping测试—在ping中,PIX将发出一个广播PING,并统计5秒内是否有响应包,如果没有,再次进行ARP测试。
  注意 在基于LAN的failover中,无法检查出PIX的掉电的情况。
  
  
  
  配置复制
  把配置从主PIX复制到备用PIX有三种方式
  
  备用PIX启动后,整个完整的配置被复制到备用PIX上面。
  在主PIX上作的每个配置都将通过Failover连接复制到备用PIX上。
  可以在主PIX上使用write standby命令将整个配置强制的传送到备用PIX上面。
  配置复制都是内存到内存的,在复制完成后,应当使用wr mem命令配置写到Flash中。如果使用基于failover电缆的failover,配置又很长时,将花很多时间来进行配置的同步,如果在同步过程中发生切换,则新的活动PIX的配置交不完整,它将重新启动,并使用Flash中的配置。在同步过程中,不能在console上输入任何信息。
  
  Stateful Failover
  Stateful Failover特性预先将状态信息传送到备用PIX上,在一个切换发生时,在新的活动PIX上有着同样的连接信息,用户的应用的会话不需要重新连接。
  
  传送到备用PIX的状态信息包括:全局地址池和状态、连接和地址转换信息、H323UDP端口协商状态、PAT映射表,以及其它的细节信息。
  
  根据特性,PIX需要15-45秒来被完成一次切换,完成切换前,stateful failover同样无法为应用提供服务。
  
  Stateful Failover需要100Mbps或千兆以太连接,stateful failover接口之间的连接可以使用下面的任何一种方法:
  
  使用5类交叉线直连
  使用一个单独的100兆全双工交换机或使用一个单独的VLAN
  使用一个单独的1000兆全双工交换机或使用一个单独的
  数据传输使用IP协议,协议号为105,在这个接口上不能有任何其它的主机或路由器。
  注意 所有不使用的接口均应该用shutdown命令将它shutdown.
  禁用Failover
  可以使用no failover这样一个简单的命令来禁用failover,如果failover被禁用,show failover命令的输出如如下所示:
  
  show failover
  Failover Off
  Cable Status: My side not connected
  Reconnect timeout: 0:00:00
  Failover使用须知
  在使用PIX Failover时应该注意如下事项:
  
  1. 在连接PIX的交换机上做如下配置:
  
  a. 在直接连接PIX的端口上启用portfast
  
  b. 在直接连接PIX的端口上关于trunking
  
  c. 在直接连接PIX的端口上关于channeling.
  
  d. 确认MSFC运行的IOS版本不是已废除的版本。
  
  注意 从

原文转自:http://www.ltesting.net