北京正在建设”全球通充值”工程通用户的帐户信息存储于BOSS系统中分担的两条2M系统
ÀûÓÃFIX Firewall的Failover功能
但由于局方只同意提供一套2M
确保系统的实时通信
而全球
原计划提供负荷
这种功能可以使我们在原有防火墙的基础上配置
一个备用防火墙
以继续维持通信
射给现在的备机
备用防火墙自动改变自身的状态
与此同时原备机的IP和MAC会被映
外部网络来看不会有任何不同
如果想在主备机切换的同
但普通的failover方式在切换的过程端口会被释放时还可以保持各端口的连接
可以使用Stateful Failover 功能
Failover功能要求主备机具有相同的型号Flash memory,RAM型号及大小
相同的Actovationg key,相同的
并不
要求主备用的两台机器完全相同
PIX 506不支持主备用配置
是所有型号的FIX Firewall都支持主备用设置
PIX525
条件地支持主备用配置
Failover ,主备机都必须另外装有100Mbps Ethernet接口
UR
PIX 520 可无若使用Stateful
所有配置工作都要在主机上进行配置信息
否则可能会影响备机的
主机会将所需配置内容自动同步给备机
一
应该对网络进行详细的规划和设计
息如下
每个PIX网络接口的IP地址
如果要进行NAT,则要提供一个IP地址池供NAT使用
用保留地址的内部网段上的机器映射到一个合法的IP地址上以便进行Internet访问
外部网段的路由器地址
连接好超级终端
pixfirewall>后输入
进入特权模式 在配置过程中
使用write memory保存配置信息到主机Flash Memory
使用write standby将配置信息保存到备机的Flash Memory
¿É 在主机上
在出现启动信息和出现提示符
输入
它可以将使要获得的信
本例中网络规划如下
配置步骤1
网络接口的配置
PIX使用nameif和ip address命令进行网络接口配置
nameif ethernet1 outside security0 nameif ethernet0 inside security100 PIX防火墙使用Intel的10/100Mbps网卡 interface ethernet0 auto interface ethernet1 auto 最后
ip address inside 139.100.12.201 255.255.252.0 ip address outside 198.115.153.51 255.255.255.03
ÎÒÃǶ¨ÒåÁËÄÚ²¿Íø¶Î°²È«ÖµÎª100
问安全值低的区域
相反地
则需要使用static和conduit命令
两个语句中的NAT ID应一样
定义NAT使用的地址池
合法的IP地址并不多
4
用户在安全值高的区域访
第二句
route outside 198.115.55.0 255.255.255.0 198.115.153.1 198.115.153.1是内部网段访问198.115.55.0所要经过的路由器地址允许使用ICMP协议
conduit permit icmp any any
此命令允许在内部网段和外部网段使用ICMP协议和ftp命令
增加telnet访问控制 在PIX中
telnet 139.100.12.0 255.255.252.0 telnet 198.115.153.0 255.255.255.0
即允许139.100.12.0和198.115.153.0网段器使用telnet访问防火墙
内外网段可以使用ping命令
当访问防火墙的机器5分钟内没有任何操作时
telnet访问的缺省口令是cisco 测试telnet时7
PIX拒绝所有来自外部网段的访问请求为了使外部网络上的用户可以访问到
以下是允许外部网络访问内部网络上的服务器的命令
第一个命令将在内部网段的服务器139.100.12.140映射成外部合法地址
198.115.153.538
Active time: 82140 (sec)
Interface inside (139.100.12.201): Normal (Waiting) Interface outside (198.115.153.51): Normal (Waiting) Other host: Secondary - Standby Active time: 0 (sec)
Interface inside (139.100.12.202): Normal (Waiting) Interface outside (198.115.153.52): Normal (Waiting)
Stateful Failover Logical Update Statistics Link : Unconfigured. 表示配置成功三
注意线是有方向性的
将标有secondary的一端连于备机
状态如图所示
连接
在打开备机电源前应保证备机上没有任何配置信息息
打开电源
用config erase命令清除配置信
在主
机上使用show ip 和show failover命令应该看到如下信息bj_uc1# show ipSystem IP Addresses:
ip address inside 139.100.12.201 255.255.252.0
ip address outside 198.115.153.51 255.255.255.0Current IP Addresses:
ip address inside 139.100.12.201 255.255.252.0 ip address outside 198.115.153.51 255.255.255.0bj_uc1# show failoverFailover On
Cable status: NormalReconnect timeout 0:00:00Poll frequency 15 seconds This host: Primary - Active Active time: 82140 (sec)
Interface inside (139.100.12.201): Normal Interface outside (198.115.153.51): Normal Other host: Secondary - Standby Active time: 0 (sec)
Interface inside (139.100.12.202): Normal Interface outside (198.115.153.52): Normal
Stateful Failover Logical Update Statistics Link : Unconfigured.
在备机上使用show ip 和show failover命令应该看到如下信息bj_uc1# show ipSystem IP Addresses:
ip address inside 139.100.12.201 255.255.252.0 ip address outside 198.115.153.51 255.255.255.0Current IP Addresses:
ip address inside 139.100.12.202 255.255.252.0 ip address outside 198.115.153.52 255.255.255.0bj_uc1# show failoverFailover On
Cable status: NormalReconnect timeout 0:00:00Poll frequency 15 seconds
This host: Secondary - Standby
Active time: 0 (sec)
Interface inside (139.100.12.202): Normal Interface outside (198.115.153.52): Normal Other host: Primary - Active Active time: 82350 (sec)
Interface inside (139.100.12.201): Normal Interface outside (198.115.153.51): Normal
Stateful Failover Logical Update Statistics Link : Unconfigured. 以上信息表示配置成功
其它相关命令 1
故障消除后 3
failover link ,no failover link命令 配置Stateful failover
看看配置是否成功
因篇幅问题不能全部显示,请点此查看更多更全内容