failoverAAWord下载.docx

failoverAAWord下载.docx

《failoverAAWord下载.docx》由会员分享，可在线阅读，更多相关《failoverAAWord下载.docx（11页珍藏版）》请在冰点文库上搜索。

Fa1/3on802.1qtrunking1

Fa1/8on802.1qtrunking1

Fa1/15on802.1qtrunking1

SW12#showvlan-switch

10VLAN0010active

20VLAN0020activeFa1/2

30VLAN0030activeFa1/11

100VLAN0100activeFa1/9

200VLAN0200activeFa1/10

SW12#showinterfacestrunk

Fa1/8on802.1qtrunking1

Fa1/15on802.1qtrunking1

在systemFW下创建子接口，并加入vlan

pix1（config）#interfacee0

pix1（config）#noshutdown

pix1（config）#interfacee0.1创建子接口，加入vlan

pix1（config-if）#vlan10

pix1（config）#interfacee0.2

pix1（config-if）#vlan20

Pix2上只需配置failover，其他都从pix1上通过failover链路复制

Primary上配置failover组

pix1（config）#failovergroup1

pix1（config-fover-group）#primary组1角色primary

pix1（config-fover-group）#preempt抢占

pix1（config）#failovergroup2

pix1（config-fover-group）#secondary组2角色secondary

pix1（config-fover-group）#preempt

创建虚拟FW，添加接口并加入failover组

pix1（config）#admin-contextadmin指定admincontext

pix1（config）#contextadmin

pix1（config-ctx）#config-urlflash:

/admin.cfg

pix1（config-ctx）#allocate-interfacee0.1

pix1（config-ctx）#allocate-interfacee1

pix1（config-ctx）#join-failover-group1加入组1

pix1（config）#contextxx

/xx.cfg

pix1（config-ctx）#allocate-interfacee2

pix1（config-ctx）#join-failover-group2加入组2

切换到虚拟FW，配置端口IP地址（事先要创建子接口并将子接口加入到相应vlan，开启物理接口）

pix1（config）#changetocontextadmin

pix1/admin（config）#interfacee0.1

pix1/admin（config-if）#nameifinside

pix1/admin（config-if）#ipadd192.168.1.10255.255.255.0standby192.168.1.254

pix1/admin（config-if）#intee1

pix1/admin（config-if）#nameifoutside

pix1/admin（config-if）#ipadd192.168.3.10255.255.255.0standby192.168.3.20

pix1（config）#changetocontextxx

pix1/xx（config）#intee0.2

pix1/xx（config-if）#nameifinside

pix1/xx（config-if）#ipadd192.168.2.10255.255.255.0standby192.168.2.254

pix1/xx（config-if）#intee2

pix1/xx（config-if）#nameifoutside

pix1/xx（config-if）#ipadd192.168.4.10255.255.255.0standby192.168.4.20

在FW1/FW2上配置failover

pix1（config）#failoverlanenable

pix1（config）#failoverlaninterfacefae3

pix1（config）#failoverinterfaceipfa192.168.100.100255.255.255.0standby192.168.100.200

pix1（config）#failoverlinkfae3

pix1（config）#failoverlanunitprimary必须配置？

？

pix1（config）#failover

pix2（config）#failoverlanenable

pix2（config）#failoverlaninterfacefae3

pix2（config）#failoverinterfaceipfa192.168.100.100255.255.255.0standby192.168.100.200

pix2（config）#failoverlinkfae3

pix2（config）#failoverlanunitsecondary

pix2（config）#failover

数据从active复制到standby后，查看failover信息

pix1（config）#

Beginningconfigurationreplication:

Sendingtomate.

EndConfigurationReplicationtomate

pix2（config）#

StatecheckdetectedanActivemate

Beginningconfigurationreplicationfrommate.

Endconfigurationreplicationfrommate.

pix1（config）#

IP地址查看

FW1上

pix1/admin（config）#showinterfaceipbriefFW1上的admin上端口为active下的IP

InterfaceIP-AddressOK?

MethodStatusProtocol

Ethernet0.1192.168.1.10YESmanualupup

Ethernet1192.168.3.10YESmanualupup

pix1/xx（config）#showinterfaceipbriefFW1上的xx上端口为standby下的IP端口

Ethernet2192.168.4.20YESmanualupup

Ethernet0.2192.168.2.254YESmanualupup

FW2上

pix1/admin（config）#showinterfaceipbriefFW2上的admin上端口为standby下的IP

Ethernet0.1192.168.1.254YESCONFIGupup

Ethernet1192.168.3.20YESmanualupup

pix1/xx（config）#showinterfaceipbriefFW2上的xx上端口为active下的IP

Ethernet0.2192.168.2.10YESCONFIGupup

Ethernet2192.168.4.10YESCONFIGupup

FW1上的failover信息

pix1（config）#showfailover

FailoverOn

Cablestatus:

N/A-LAN-basedfailoverenabled

FailoverunitPrimary

FailoverLANInterface:

faEthernet3（up）

UnitPollfrequency15seconds,holdtime45seconds

InterfacePollfrequency5seconds,holdtime25seconds

InterfacePolicy1

MonitoredInterfaces2of250maximum

Version:

Ours8.0（3）19,Mate8.0（3）19

Group1lastfailoverat:

05:

35:

27UTCMar282010

Group2lastfailoverat:

06:

50:

38UTCMar282010

Thishost:

Primary

Group1State:

Active

Activetime:

4755（sec）

Group2State:

StandbyReady

1320（sec）

adminInterfaceinside（192.168.1.10）:

Normal（Not-Monitored）

adminInterfaceoutside（192.168.3.10）:

Normal

xxInterfaceinside（192.168.2.254）:

xxInterfaceoutside（192.168.4.20）:

Otherhost:

Secondary

0（sec）

3435（sec）

adminInterfaceinside（192.168.1.254）:

adminInterfaceoutside（192.168.3.20）:

xxInterfaceinside（192.168.2.10）:

xxInterfaceoutside（192.168.4.10）:

FW2上的failover信息

FailoverunitSecondary

49:

55UTCMar282010

40UTCMar282010

Group2State:

3465（sec）

Group1State:

4785（sec）

Ping测试

RT1（config）#iproute0.0.0.00.0.0.0192.168.1.10

RT2（config）#iproute0.0.0.00.0.0.0192.168.2.10

RT3（config）#iproute192.168.1.0255.255.255.0192.168.3.10

RT3（config）#iproute192.168.2.0255.255.255.0192.168.4.10

pix1/admin（config）#access-listpgpermiticmp192.168.3.0255.255.255.0host192.168.1.1

pix1/admin（config）#access-grouppgininterfaceoutside

RT1#ping192.168.3.1

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto192.168.3.1,timeoutis2seconds:

!

Successrateis100percent（5/5）,round-tripmin/avg/max=28/45/64ms

pix1（config）#debugicmptraceRT1pingRT3走的是FW1上的admin

ICMPechorequestfrominside:

192.168.1.1tooutside:

192.168.3.1ID=12seq=0len=72

ICMPechoreplyfromoutside:

192.168.3.1toinside:

192.168.1.1ID=12seq=0len=72

数据流分析：

RT1发ARP广播得到下一跳192.168.1.10的MAC地址，封装数据包，从e1/0发出到达SW11的f1/1

数据包进入SW11的f1/1，打上vlan10的ID

SW11查找MAC地址表，先前转发ARP时已经学到192.168.1.10的MAC地址，到f1/8

f1/8为trunk，打上vlanid=10的trunk标识，从f1/8发出到达FW15的e0

FW15通过唯一的MAC区分数据包，交给admin的FW处理，e0.1封装已封装成dot1q，划到了vlan10，vlanid一致，在e0.1口拆掉trunk标识

在admin上从inside到outside，默认放行，查找路表，下一跳为直连网段

从FW15上的e1发出到达SW11的f1/9，进入f1/9时打上vlan100的ID

SW11通过MAC地址表（FW15请求192.168.3.1的MAC地址时学到）从f1/3发出

F1/3为trunk，打上vlanid=100的trunk标识，发到R3上e1/0.1

E1/0.1封装已封装成dot1q，划到了vlan100，vlanid一致，在e1/0.1口拆掉trunk标识，发现目标IP地址是自己，回复ICMP包

ICMP数据返回过程与上类似

E1/0.1打上trunk标识，vlanid=100

F1/3上拆除trunk标识，查MAC表，发送到属于vlan100的f1/9（出access口时没有vlan标记）

FW15上已在outside有ACL放行，查路由，发到e0.1，打上trunk标识，vlanid=10

在SW11的trunk口F1/8拆除trunk标识，并发到属于vlan10的f1/1

pix1/xx（config）#access-listpgpermiticmp192.168.4.0255.255.255.0host192.168.2.1

pix1/xx（config）#access-grouppgininterfaceoutside

RT2#ping192.168.4.1

Sending5,100-byteICMPEchosto192.168.4.1,timeoutis2seconds:

Successrateis100percent（5/5）,round-tripmin/avg/max=28/88/164ms

pix1/xx（config）#debugicmptrace

pix1/xx（config）#RT2pingRT3走的是FW2上的xx

192.168.2.1tooutside:

192.168.4.1ID=6seq=0len=72

192.168.4.1toinside:

192.168.2.1ID=6seq=0len=72

切换测试

SW12（config）#intef1/10

SW12（config-if）#shutdown关闭与FW16上xx相连的交换机端口

FW1上查看xx

pix1（config）#chancontextxx

pix1/xx（config）#showfailover

LastFailoverat:

58:

51UTCMar282010

Thiscontext:

Active由原来的standby切换到active

1395（sec）

Interfaceinside（192.168.2.10）:

Interfaceoutside（192.168.4.10）:

Normal（Waiting）

Peercontext:

Failed

3690（sec）

Interfaceinside（192.168.2.254）:

Interfaceoutside（192.168.4.20）:

Failed（Waiting）

在FW2上看

53UTCMar282010

Failed由原来的active变为failed

1425（sec）