千家信息网

用GNS3做PIX Failover实验

发表于:2025-01-20 作者:千家信息网编辑
千家信息网最后更新 2025年01月20日,折腾了好久,总算是折腾了出来!偶地那个心啊被虐惨啦!!!!!R2:R2(config)#int e1/0R2(config-if)#ip ad 192.168.1.100 255.255.255.0R
千家信息网最后更新 2025年01月20日用GNS3做PIX Failover实验

折腾了好久,总算是折腾了出来!偶地那个心啊被虐惨啦!!!!!

R2:

R2(config)#int e1/0

R2(config-if)#ip ad 192.168.1.100 255.255.255.0

R2(config-if)#no sh

R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1

R1:

R1(config)#int e1/0

R1(config-if)#ip ad 202.100.1.1 255.255.255.0

R1(config-if)#no sh

R1(config)#ip route 0.0.0.0 0.0.0.0 e1/0

接下来就是两个防火墙的配置,可是把我搞惨了,首先要做 Failover实验,两个防火墙的版本一定是要一样的,其次就是要支持这个 Failover特性,就要求权限为UR,show version查看,最后面!

This platform has an Unrestricted (UR) license.

可是尼玛当我拖PIX1和PIX2出来的时候,PIX2死活不是UR,一直显示R,我用KEY升级也总是提示失败,难道人品问题?!这里就折腾了好久,然后一不小心把PIX1和PIX2删除了,又拖了PIX3和PIX4出来,一启动,尼玛居然两个又都是UR了,GNS3,你丫的玩我! 好把,总算实验可以继续了...... 下面是配置: PIX3:

pixfirewall#conf t

pixfirewall(config)#hostname pix3

pix3(config)#int e0

pix3(config-if)#no sh//养成好习惯,一进端口马上激活,免得搞忘!

pix3(config-if)#security-level 0

pix3(config-if)#nameif outside

pix3(config-if)#ip address 202.100.1.13 255.255.255.0 standby 202.100.1.14 //配置outside的主IP和备份IP

pix3(config-if)#int e1//用于心跳线

pix3(config-if)#no sh

pix3(config-if)#int e2

pix3(config-if)#security-level 100

pix3(config-if)#nameif inside

pix3(config-if)#ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2 //配置inside的主IP和备份IP

pix3(config)#exit

pix3(config)#access-list outlist extended permit icmp any interface outside//列表outlist允许内部ping外部

pix3(config)#access-group outlist in interface outside//放行流量通过

pix3(config)#failover//启动FAILOVER,这里如果不是UR就会报错了

pix3(config)#failover lan unit primary//配置failover通过LAN口实现心跳线,并设置本机为primary端

pix3(config)#failover lan interface flink Ethernet1//配置E1接口为LAN心跳线接口,并赋予flink名称

pix3(config)#failover lan enable//激活LAN心跳线接口

pix3(config)#failover interface ip flink 10.1.1.1 255.255.255.0 standby 10.1.1.2//设置LAN心跳线的ACTIVE端的IP和STANDBY端的IP,用于心跳通信

pix3(config)#nat-control

pix3(config)#nat (inside) 1 192.168.1.0 255.255.255.0//内部NAT,只允许192.168.1.0网段

pix3(config)#global (outside) 1 interface//外部NAT

pix3(config)#route outside 0.0.0.0 0.0.0.0 202.100.1.1 1//路由

下面是PIX4:

pixfirewall#conf t

pixfirewall(config)#interface e1//用于心跳线

pixfirewall(config)#no shut

pixfirewall(config)#exit

pixfirewall(config)#failover//启动FAILOVER

pixfirewall(config)#failover lan unit secondary//配置failover通过LAN口实现心跳线,并设置本机为secondary

pixfirewall(config)#failover lan interface flink Ethernet1//配置E1接口为LAN心跳线接口,并赋予flink名称

pixfirewall(config)#failover lan enable//激活LAN心跳线接口

pixfirewall(config)#failover interface ip flink 10.1.1.1 255.255.255.0 standby 10.1.1.2//设置LAN心跳线的ACTIVE端的IP和STANDBY端的IP,用于心跳通信

好了一切配置OK,刚开始还不懂这个,2B的去给PIX的e0 e2接口设置IP,汗.....其实不用的,PIX3会自动通过心跳线传输到PIX3的!

配置成功之后在PIX3上会提示以下信息:

No Response from Mate

Beginning configuration replication: Sending to mate.

End Configuration Replication to mate

//表示PIX3已经进入准备切换状态

PIX4则会显示以下信息:

Detected an Active mate

Beginning configuration replication from mate.

End configuration replication from mate.

//表示PIX4进入待机状态

这个时候PIX3的全部配置自动会同步给PIX4,而且以后PIX3所做的任何修改,也会即时同步给备份防火墙。同步完后,会发现PIX4的名字也变成PIX3了!

然后可以查看下它们的状态

PIX3(config)# show failover

Failover On

Cable status: N/A - LAN-based failover enabled

Failover unit Primary

Failover LAN Interface: flink Ethernet1 (up)

Unit Poll frequency 15 seconds, holdtime 45 seconds

Interface Poll frequency 5 seconds, holdtime 25 seconds

Interface Policy 1

Monitored Interfaces 2 of 250 maximum

Version: Ours 8.0(2), Mate 8.0(2)

Last Failover at: 00:38:39 UTC Apr 27 2013

This host: Primary - Active

Active time: 1500 (sec)

Interface outside (202.100.1.13): Normal

Interface inside (192.168.1.1): Normal

Other host: Secondary - Standby Ready

Active time: 0 (sec)

Interface outside (202.100.1.14): Normal

Interface inside (192.168.1.2): Normal

在PIX4上,如果执行操作会提示:

**** WARNING **** Configuration Replication is NOT performed from Standby unit to Active unit. Configurations are no longer synchronized. 这是因为部署了Failover之后,2台防火墙实际起作用的主设备,如果在备份防火墙做设置, 会有以下报错! 接下来在R2上Ping R1测试下!ping的过程中把PIX3给停掉,可以看到Ping会丢失几个,然后切换到PIX4,按理说这个防火墙失效会监测inside 和outside口,可是我在实验中把这个接口down掉后,并没有发生切换,难道哪里还需要特别的配置下?? R2#ping 1.1.1.1 repeat 1000 Type escape sequence to abort. Sending 1000, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!...................!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

0