配置PIX Failover----系统需求

Failover的系统需求

　　要配置pix failover需要两台PIX满足如下要求：

型号一致(PIX 515E不能和PIX 515进行failover) 软件版本相同 激活码类型一致(都是DES或3DES) 闪存大小一致 内存大小一致

　　Failover中的两个设备中，至少需要一个是UR的版本，另一个可以是FO或者UR版本。R版本不能用于Failover，两台都是FO版版也不能用于同一个Failover环境。

　　注意 Pix501、Pix506/506E均不支持Failover特性。

理解Failover

　　Failover可以在主设备发生故障时保护网络，在配置了Stateful Failover的情况下，在从主Pix迁移到备PIX时可以不中断TCP连接。Failover发生时，两个设备都将改变状态，当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址，并开始工作。而新的备用PIX则将自己的IP和MAC设置为原备份地址。对于其它网络设备来说，由于IP和MAC都没改变，在网络中的任何地方都不需要改变arp表，也不需要等待ARP超时。

　　一旦正确配置了主Pix，并将电缆连接正确，主Pix将自动把配置发送到备份的PIX上面。Failover可以在所有的以太网接口上工作良好，但Stateful Failover所使用的接口只能是百兆或千兆口。

　　在未配置Failover或处于Failover活动状态时，pix515/515E/525/535前面板上的ACT指示灯亮，处于备用状态时，该灯灭。

　　将两台PIX连在一起做Fairover有两种方式：使用一条专用的高速Failover电缆做基于电缆的Failover，或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。如果做stateful Failover或做基于网络的Failover时，推荐使用100兆全双工或千兆连接。

　　警告 做Stateful Failover时所使用的Failover连接的速度不能低于正常工作的接口的速度。

　　Failover特性使PIX每隔15秒（可以使用Failover poll命令设置）就对自己的接口进行一次ARP查询。只有禁用Failover这种查询才会停止。

　　注意 使用static命令不当会造成Failover不能正常工作。

　　没有定义特殊端口的static命令，转换一个接口上接收到的流量的地址，然而，备份的PIX必须能和主PIX的每一个启用了的接口通讯，以检查该接口是否处于活动状态。

　　例如，下面的例子会打断正常的通讯，而不能使用：

　　　static (inside,outside) interface 192.168.1.1

　　这个命令转换从outside接口来来的流量到inside接口，并转发到182.168.1.1，包括从备用PIX发过来的Failover信息。因为备用PIX无法收到响应信息，它就认为主PIX的该接口不活动，这样，备份PIX就将切换到活动状态。

　　要创建一个不会对Failover造成影响的static语句，在Static命令中加入端口信息。例如上例可以改写为如下形式：

　　static (inside, outside) tcp interface 80 192.168.1.1 80

　　这样，就只会转换Http流量（80端口），而对Failover信息没有影响。如果还需要转换其它流量，可以为每个端口写一条Static语句

　　在主PIX上配置Failover需要使用到如下命令：

failover 启用Failover failover ip address 为备用PIX分配接口地址 failover link 启用Stateful Failover failover lan 配置基于网络的Failover

配置基于Failover电缆的Failover

　　注意 如果备用PIX处于开电状态，在进行下面的操作前先将它关掉。

　　第一步　在活动的PIX上用clock set命令同步时钟

　　第二步　将主、从PIX上配置了IP地址的所有接口的网线都接好。

　　第三步　将Failover电缆上标有"Primary"的那头接到主PIX的Failover口上，标有"Secondary"的那头接到从PIX上面

　　第四步　只配置主PIX.在主PIX上使用write mem命令时，配置会自动写到备用PIX的FLASH中。

注意　在系统提示可以打开备用Pix前，不要给备用PIX上电。

　　第五步　使用conf t命令进入配置模式

　　第六步　确认在配置的任何一个interface命令中都没有使用auto或1000auto选项，要查看interface命令，可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。

注意　如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时，一要要注意在interface命令中使用100full或1000sxfull选项，而且在Stateful Failover连接上的MTU一定要设置为1500或更大。

　　Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度，例如，inside和outside使用的安装在总线0上的PIX-1GE-66卡，则Failover连接必须也使用PIX-1GE-66卡，并安装在总线1上，在这种情况不，不能使用Pix-1GE或PIX-1FE的卡，也不能在总线2或使用一个更慢的卡共享总线1的。

　　第七步　在interface配置正确后使用cl