返回
思科ASA防火墙配置.doc

思科ASA防火墙配置.doc

ID:49637981

大小:166.00 KB

页数:33页

时间:2020-03-02

思科ASA防火墙配置.doc_第1页
思科ASA防火墙配置.doc_第2页
思科ASA防火墙配置.doc_第3页
思科ASA防火墙配置.doc_第4页
思科ASA防火墙配置.doc_第5页
资源描述:

《思科ASA防火墙配置.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、配置PIXFailover简介:本文描述了PixFailover特性的配置。Failover的系统需求  要配置pixfailover需要两台PIX满足如下要求:·型号一致(PIX515E不能和PIX515进行failover)·软件版本相同 ·激活码类型一致(都是DES或3DES)·闪存大小一致 ·内存大小一致   Failover中的两个设备中,至少需要一个是UR的版本,另一个可以是FO或者UR版本。R版本不能用于Failover,两台都是FO版版也不能用于同一个Failover环境。  注意   Pix501

2、、Pix506/506E均不支持Failover特性。理解Failover  Failover可以在主设备发生故障时保护网络,在配置了Stateful Failover的情况下,在从主Pix迁移到备PIX时可以不中断TCP连接。Failover发生时,两个设备都将改变状态,当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址,并开始工作。而新的备用PIX则将自己的IP和MAC设置为原备份地址。对于其它网络设备来说,由于IP和MAC都没改变,在网络中的任何地方都不需要改变arp表,也不

3、需要等待ARP超时。  一旦正确配置了主Pix,并将电缆连接正确,主Pix将自动把配置发送到备份的PIX上面。Failover可以在所有的以太网接口上工作良好,但StatefulFailover所使用的接口只能是百兆或千兆口。  在未配置Failover或处于Failover活动状态时,pix515/515E/525/535前面板上的ACT指示灯亮,处于备用状态时,该灯灭。  将两台PIX连在一起做Fairover有两种方式:使用一条专用的高速Failover电缆做基于电缆的Failover,或者使用连接到单独的交

4、换机/VLAN间的单独的接口的基于网络的的Failover。如果做statefulFailover或做基于网络的Failover时,推荐使用100兆全双工或千兆连接。  警告  做StatefulFailover时所使用的Failover连接的速度不能低于正常工作的接口的速度。  Failover特性使PIX每隔15秒(可以使用Failoverpoll命令设置)就对自己的接口进行一次ARP查询。只有禁用Failover这种查询才会停止。  注意  使用static命令不当会造成Failover不能正常工作。  没有

5、定义特殊端口的static命令,转换一个接口上接收到的流量的地址,然而,备份的PIX必须能和主PIX的每一个启用了的接口通讯,以检查该接口是否处于活动状态。  例如,下面的例子会打断正常的通讯,而不能使用:   static(inside,outside)interface192.168.1.1  这个命令转换从outside接口来来的流量到inside接口,并转发到192.168.1.1,包括从备用PIX发过来的Failover信息。因为备用PIX无法收到响应信息,它就认为主PIX的该接口不活动,这样,备份PIX

6、就将切换到活动状态。  要创建一个不会对Failover造成影响的static语句,在Static命令中加入端口信息。例如上例可以改写为如下形式:  static(inside,outside)tcpinterface80192.168.1.180  这样,就只会转换Http流量(80端口),而对Failover信息没有影响。如果还需要转换其它流量,可以为每个端口写一条Static语句  在主PIX上配置Failover需要使用到如下命令:·failover启用Failover·failoveripaddress为

7、备用PIX分配接口地址·failoverlink启用StatefulFailover·failoverlan配置基于网络的Failover配置基于Failover电缆的Failover  注意如果备用PIX处于开电状态,在进行下面的操作前先将它关掉。  第一步 在活动的PIX上用clockset命令同步时钟  第二步 将主、从PIX上配置了IP地址的所有接口的网线都接好。  第三步 将Failover电缆上标有"Primary"的那头接到主PIX的Failover口上,标有"Secondary"的那头接到从PIX上

8、面  第四步 只配置主PIX.在主PIX上使用writemem命令时,配置会自动写到备用PIX的FLASH中。注意 在系统提示可以打开备用Pix前,不要给备用PIX上电。  第五步 使用conft命令进入配置模式  第六步 确认在配置的任何一个interface命令中都没有使用auto或1000auto选项,要查看interface命令,可以使用wrterm

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。