命令show failover lan可以只显示基于LAN的failover的状态。命令show failover lan detail提供了更为详细的信息,
例2 show failover lan detail命令输出:
pix(config)# show failover lan detail
Lan Failover is Active
This Pix is Primary
Command Interface is dmz
Peer Command Interface IP is 171.69.39.201
My interface status is 0x1
Peer interface status is 0x1
Peer interface downtime is 0x0
Total msg send: 103093, rcvd: 103031, droped: 0, retrans: 13, send_err: 0
Total/Cur/Max of 51486:0:5 msgs on retransQ
msgs on retransQ if any
LAN FO cmd queue, count: 0, head: 0x0, tail: 0x0
Failover config state is 0x5c
Failover config poll cnt is 0
Failover pending tx msg cnt is 0
Failover Fmsg cnt is 0
pix os6.2还提供了4个新的专门用于基于LAN failover调试的debug选项:ailover:
lanrx-显示基于LAN的failover接收进程的调试信息 lanretx-显示基于LAN的failover转发进程的调试信息 lantx-显示基于LAN的failover发送进程的调试信息 lancmd -显示基于LAN的failover主线程的调试信息
附加的Failover信息
Failover通讯
在一个Failover对中的两台PIX通过一个局域网连接或专用的Failover电缆进行通讯。Failover电缆是一个工作在115.2Kbps的改进过的RS-232串行电缆。在数据中包含有主从PIX的标志位。
两个PIX每隔15秒在所有的接口和Failover电缆上发送一个特殊的Failover的"hello"包,可以使用failover poll seconds命令修改"hello"包的发送间隔(最小为3秒,最大15秒)。在使用stateful failover时,该值应该小一些。减少该值,可以更快的检测到失效,但也会引起一些不必要的切换。
PIX上的Failover特性监视着两台PIX的Failover通讯、电源状态、接口上的hello包状态。如果连续有两个hello包未收到,Failover进程开始检查接口的状态,如果主PIX有任何一个接口失效了,那么控制权就移交到备用PIX上面。
只有在PIX上有100Mbps或千兆网连接时才可以使用Stateful Failover,启用Stateful Failover后,每个connections的状态都在两个PIX之间进行同步。没有启用Stateful Failover的情况下,备用PIX并不维护每个连接的状态信息,这就意味着在失效发生时,所有的连接都将复位,客户端必须重新发起连接。
Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。
Failover 使用如下特性去检查对方是否处于可用状态
链接状态测试-这是检查网卡本身的,如果一个接口卡没处于UP状态,刚认为该接口出现了故障 网络活动性测试-测试网络的活动状态,PIX将统计5秒内收到的所有的包,只要在这个时间范围内收到任何一个包,就谁该接口正常操作,并停止测试,如果没有任何信息收到,则进行ARP测试。 ARP 测试-ARP测试将读取PIX的ARP cache中最近的10条记录,PIX将以一次条的方式向这些主机发出ARP查询, 在每个查询过后,将等待5秒,如果5少内有响应则说明网络正常,如果没有响应,则进行下一条,如果所有的都没有响应,进行Ping测试。 广播Ping测试-在ping中,PIX将发出一个广播PING,并统计5秒内是否有响应包,如果没有,再次进行ARP测试。
注意 在基于LAN的failover中,无法检查出PIX的掉电的情况。
配置复制
把配置从主PIX复制到备用PIX有三种方式
备用PIX启动后,整个完整的配置被复制到备用PIX上面。 在主PIX上作的每个配置都将通过Failover连接复制到备用PIX上。 可以在主PIX上使用write standby命令将整个配置强制的传送到备用PIX上面。
配置复制都是内存到内存的,在复制完成后,应当使用wr mem命令配置写到Flash中。如果使用基于failover电缆的failover,配置又很长时,将花很多时间来进行配置的同步,如果在同步过程中发生切换,则新的活动PIX的配置交不完整,它将重新启动,并使用Flash中的配置。在同步过程中,不能在console上输入任何信息。
Stateful Failover
Stateful Failover特性预先将状态信息传送到备用PIX上,在一个切换发生时,在新的活动PIX上有着同样的连接信息,用户的应用的会话不需要重新连接。
传送到备用PIX的状态信息包括:全局地址池和状
