pix failover线是专用的吗？
- 网络工程师学习交流地
pix failover线是专用的吗？
pix525 ver 7.2（2）failover线是通用的还是专用的？
这样找答案有难度···
其他回答 (1)
就是一条普通的网线。
等待您来回答
该问题来自：提供网络工程师认证考试交流，经验交流，技术学习，职场经验分享，CCNA,CCNP,CCIE视频学习，资料分享。手机领域专家
当前分类官方群讨论、解答、交流电脑数码相关的疑难问题ASA&Active/Standby&Failover实验
配置前要注意的：在防火墙版本7.x以后引入了Multi
Context的概念，可以让不同的Context互为主备，并且增强了Failover的新特性，支持一种称为Active/Active的模式。这些功能增加了防火墙的使用效率和性能（主备模式实际工作的只有1台设备），此模式目前只被PIX和ASA平台所支持。
--------------------
hostname SW1
interface FastEthernet0/2
description ASA1-e0/0
switchport access vlan 2
interface FastEthernet0/0
description R1-f0/0
switchport access vlan 2
interface FastEthernet0/3
description ASA2-e0/0
switchport access vlan 2
interface FastEthernet0/4
description ASA1-e0/1
switchport access vlan 3
interface FastEthernet0/1
description R2-f0/0
switchport access vlan 3
interface FastEthernet0/5
description ASA2-e0/1
switchport access vlan 3
-------------------------------------------
-------------------------------
hostname R1
interface Loopback0
ip address 1.1.1.1 255.255.255.255
interface FastEthernet0/0
ip address
192.168.1.2 255.255.255.0
ip route&0.0.0.0&0.0.0.0
192.168.1.1
-----------------------------------------
-----------------------------
hostname R1
interface Loopback0
ip address&2.2.2.2 255.255.255.255
interface FastEthernet0/0
ip address
172.16.1.2 255.255.255.0
ip route&0.0.0.0&0.0.0.0
172.16.1.1
----------------------------
-----------------------------------
hostname ASA1
//防火墙失效监测包含所有接口（inside、outside），这些接口需要设置主备IP地址，供主备防火墙用于存活检测（机制为每隔5秒钟发送检测报文），否之可能接口失效，也无法触发切换：
interface Ethernet0/0
nameif inside
security-level 100
ip address&192.168.1.1
255.255.255.0 standby 192.168.1.3
interface Ethernet0/1
nameif outside
security-level 0
ip address&172.16.1.1
255.255.255.0 standby 172.16.1.3!
access-list&110 extended permit icmp any any
access-group&110 in interface
outside&&&&&&&&&&&&&&&&&&&&&
//放行流量通过,这是基本配置了
route outside 0.0.0.0 0.0.0.0 172.16.1.2
route inside 2.2.2.2 255.255.255.255
192.168.1.2
failover lan unit
primary&&&&&&&&&&&&&&&&&//设置ASA1为主设备，并且用的是网线互联
failover lan interface&AA
e0/2&&&&&&&&&&
//设置failover的接口failover
interface ip&AA 10.0.0.1 255.255.255.0 standby
10.0.0.2& //设置failover主备地址
interface Ethernet0/2
description LAN Failover
Interface&& //要no shut接口才生效，这个就不多解析了
//如果要减少失效切换期间的报文丢失，以及避免重建会话，必需用1条单独的链路专门
负责同步状态数据库，添加以下配置使接口e0/3专门用于同步状态（记得先配置接口no
shutdown）
failover link state e0/3
failover interface ip state&11.0.0.1 255.255.255.0
standby 11.0.0.2
---------------------------------
---------------------------------------
failover lan
unit&secondary&&&&&&&&&&&&&&&//设置ASA2为备份设备
failover lan interface&AA
e0/2&&&&&&&&&&
//设置failover的接口failover
interface ip&AA 10.0.0.1 255.255.255.0 standby
10.0.0.2& //设置failover主备地址
interface Ethernet0/2
description LAN Failover
Interface&&
-----------------------------------
配置成功之后在ASA1上会提示以下信息：
No Response from Mate
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate
//表示ASA已经进入准备切换状态
ASA2则会显示以下信息：
Detected an Active mate
Beginning configuration replication from mate.
End configuration replication from mate.
//表示ASA2进入待机状态
这个时候ASA1的全部配置自动会同步给ASA2，而且以后ASA1所做的任何修改，也会即时同步给备份防火墙。通过以下命令可以查看failover状况：
---------------------------------------------
ASA1# show
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit PrimaryFailover LAN Interface:&AA
Ethernet0/2 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 8.0(3), Mate 8.0(3)
Last Failover at: 03:43:08 UTC Apr 6 2008
This host: Primary - Active
Active time: 60 (sec)
Interface inside (192.168.1.1): Normal (Waiting)
Interface outside (172.16.1.1): Normal (Waiting)
Other host: Secondary - Standby
Active time: 0 (sec)
Interface inside (0.0.0.0): Normal (Waiting)
Interface outside (0.0.0.0): Normal (Waiting)
//也可以从ASA1上查看ASA2的情况
ASA1# failover exec
standby show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Secondary
Failover LAN Interface:&AA Ethernet0/2 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 8.0(3), Mate 8.0(3)
Last Failover at: 03:27:05 UTC Apr 6 2008This host: Secondary - Standby Ready
Active time: 0 (sec)
Interface inside (0.0.0.0): Normal (Waiting)
Interface outside (0.0.0.0): Normal (Waiting)
Other host: Primary - Active
Active time: 105 (sec)
Interface inside (192.168.1.1): Normal (Waiting)
Interface outside (172.16.1.1): Normal (Waiting)
//部署了Failover之后，2台防火墙实际起作用的主设备，如果在备份防火墙做设置，
会有以下报错（以下是ASA2，因为同步了配置，主机名显示的是ASA1）：
ASA1# conf t
**** WARNING ****
Configuration Replication is NOT performed from Standby unit to
Active unit.
Configurations are no longer synchronized.
-------------------------------------------
-------------------------------------
R2#ping 1.1.1.1 repeat 10000
Type escape sequence to abort.
Sending 1-byte ICMP Echos to 1.1.1.1, timeout is 2
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!...................!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
//中间丢包的部分就是因为我在SW1上shutdown
F0/2的端口，导致ASA1断线，然后ASA2自动切换到Active状态，流量也转到ASA2上。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。1.76合击传奇_1.76合击版本_1.76金币合击_传奇1.76合击
Copyright & 2014 - 2015 &&All Rights Reserved.配置PIX双机failover的要点_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
文档贡献者贡献于
评价文档：
3页1下载券4页免费23页免费17页2下载券6页免费 25页2下载券3页免费5页1下载券30页免费5页3下载券
喜欢此文档的还喜欢6页免费13页免费6页免费4页免费3页免费
配置PIX双机failover的要点|
把文档贴到Blog、BBS或个人站等：
普通尺寸(450*500pix)
较大尺寸(630*500pix)
大小：7.19KB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢您所在的位置： &
PIX防火墙命令集
PIX防火墙命令集
本文列举了PIX防火墙的相关配置命令.
Aaa 允许、禁止或查看以前使用“aaa-server”命令为服务器指定的TACACS+或RADIUS用户认证、授权和帐户Aaa-server指定一个AAA服务器Access-group 将访问列表名绑定到接口名以允许或拒绝IP信息包进入接口Access-list创建一个访问列表Alias管理双向NAT中的重叠地址Arp改变或查看ARP缓存，设置超时值Auth-prompt改变AAA的提示文本Ca配置PIX防火墙和CA的交互Clock设置PIX防火墙时钟以供PIX防火墙系统日志服务器和PKI协议使用Conduit为向内连接添加、删除或显示通过防火墙的管道Configure清除或融合当前配置与软盘或闪存中的配置。进入配置模式或查看当前配置 Crypto dynamic-map创建、查看或删除一个动态加密映射项。Crypto ipsec创建、查看或删除与加密相关的全局值Crypto map 创建、查看或删除一个动态加密映射项，也用来删除一个加密映射集Debug通过PIX防火墙调试信息包或ICMP轨迹。Disable退出特权模式并返回到非特权模式Domain_name改变IPSec域名Enable启动特权模式Enable password设置特权模式的口令Exit退出访问模式Failover改变或查看到可选failover特性的访问Filter允许或禁止向外的URL或HTML对像过滤Fixup protocol改变、允许、禁止或列出一个PIX防火墙应用的特性Flashfs清除闪存或显示闪存扇区大小Floodguard允许或禁止洪泛（FLOOD）保护以防止洪泛攻击Help显示帮助信息Global从一个全局地址池中创建或删除项Hostname改变PIX防火墙命令行提示中的主机名Interface标示网络接口的速度和双工属性Ip为本地池和网络接口标示地址Ipsec配置IPSEC策略Isakmp协商IPSEC策略联系并允许IPSEC安全通信Kill终止一个TELNET会话Logging允许或禁止系统日志和SNMP记录Mtu为一个接口指定MTU（最大流量单元）Name/names关联一个名称和一个IP地址Nameif命名接口并分配安全等级 Nat联系一个网络和一个全局IP地址池Outbound/apply创建一个访问列表用于控制因特网Pager使能或禁止屏幕分页Passwd为TELNET和PIX管理者访问防火墙控制台配置口令Perfmon浏览性能信息Ping决定在PIX防火墙上其他的IP地址是否可见Quit退出配置或特权模式Reload重新启动或重新加载配置Rip改变RIP设置Route为指定的接口输入一条静态或缺省的路由Service复位向内连接Session访问一个嵌入式的ACCESSPRO路由器控制台Show查看命令信息Show blocks/clear blocks显示系统缓冲区利用情况Show checksum显示配置校验和Show conn列出所有的活跃连接Show history显示前面输入的行Show interface显示接口配置Show memory显示系统内存的使用情况Show processes显示进程Show tech-support查看帮助技术支持分析员诊断问题的信息Show traffic显示接口的发送和接收活动Show uauth未知（我没搞过，嘿嘿）Show version浏览PIX防火墙操作信息Show xlate查看地址转换信息Snmp-server提供SNMP事件信息Static将局部地址映射为全局地址Sysopt改变PIX防火墙系统项Terminal改变控制台终端设置Timeout设置空闲时间的最大值Uauth(clear and show)将一个用户的所有授权高速缓存删除 url-cache缓存响应URL过滤对WebSENSE服务器的请求url-server为使用folter命令指派一个运行WebSENSE的服务器virtual访问PIX防火墙虚拟服务器who显示PIX防火墙上的活跃的TELNET管理会话write存储、查看或删除当前的配置xlate(clear and show)查看或清除转换槽信息
关于的更多文章
随着安全威胁、网络应用和用户行为日益复杂，企业呼唤更加智能的
在本专题中，我们将带你深入了解这些无线安全问题，直击安全痛点……
RSA中国大会将促进中国信息安全专业人员与国际信息安
业内有一些厂商推出了无代理防毒的技术，但这类解决方
Hillstone将于日至5月25日举办用户研讨会
SQL(结构化查询语言)是数据库系统的通用语言，利用它可以用几乎同样的语句在不同的数据库系统上执行同样的操作，在数据库系统的
51CTO旗下网站