1. failover的需求
○ 硬件:failover的设备具有相同的型号、接口、flash、RAM。
○ license:其中一台是UR,另外一台可以是FO、FO_AA、UR。restricted的license不能用来failover;若一台具有FO、FO_AA的FW在单独使用,他会每24小时重启
○ 所有PIX既支持lan-based,也支持cable-based,ASA只支持lan-based,5505不支持状态化failover
2. Failover link
○ 传送以下信息
§ 设备的状态:active或者standby
§ hello消息
§ 链路状态
§ MAC地址交换
§ 配置同步
○ 使用交叉线直接连接或者经过SW连接,SW开启portfast
3. Stateful link
○ 使用指定的以太口连接或者共享failover链路
○ 可以直连或者经过SW,SW开启portfast
4. Active/standby failover
○ active、standby和primary secondary的概念见我写的《failover基础》
○ 状态决定
§ 若primary、secondary同时正常启动,则primary成为active
§ primary的MAC和active IP总是成对出现,除非出现secondary成为active后,无法通过failover link获取primary的MAC时(如secondary首先启动,而primary没有启动;或者failover link断开)
○ 设备初始化和配置同步
§ 配置文件总是从active同步给standby,当standby启动后,他会清除自己的running-config,然后active会发送自己所有的配置给standby
§ active设备的决定
□ 如果一个设备启动了,他从failover得知已经有了active,则自己成为standby
□ 如果一个设备启动了,没有检测到对端,则自己成为active
□ 如果设备同时启动,那么active是primary
§ 注意点:如果secondary先启动了,他就成为active,此时他会用自己的MAC来和active IP成对,然而,当primary启动后,就像前面提到的,primary的MAC和active IP总是成对的,所以导致secondary的MAC被primary的MAC代替,这样造成重新学习ARP,网络中断。为了避免此类事件,尽量让primary首先启动,或者配置固定MAC,后面会讲。
§ 当配置同步开始后,active出现log:beginning configuration replication : sending to mate,结束后出现: end configuration replication to mate。注意,在配置同步过程中,绝对不能在active或者standby上敲命令,这样对导致所敲的命令无法同步。同步到standby上的命令保存在running-config中,需要在active上敲wr来同时保存active和secondary的配置,或者通过在active上敲wr standby来仅仅保存standby的命令
§ 所有在active上敲的命令会立即同步到standby上去,除了关于failover、debug、mode的配置
§ failover的触发条件(任意一项即可)
□ active的硬件故障或者电源故障
□ active软件故障
□ Monitor接口fail
□ 在standby上输入failover active或者在active上输入no failover active
§ 触发/不触发failover的具体条件
□ Active fail(电源或者硬件故障),触发failover(standby通过hello感知)
□ 原先的active恢复了,不触发failover
□ Standby fail,不触发failover,同时active即使在门限到了也不会尝试触发failover
□ Failover link失效,不failover
□ 在设备启动时failover link失效,primary和secondary同时成为active
□ Stateful link失效,不failover
□ active的接口failed,但是在门限内,不failover
□ active的接口failed,超过门限,failover
5. 状态化failover
○ active会持续将状态信息发给standby
○ 状态信息包括诸如NAT、TCP、UDP、ARP、桥接、HTTP、IPSec信息
6. 健康检测
○ 当standby连续3个hello时间内没有收到active发来的数据包,他会认为active可能fail了(因为也有可能是failover link故障了),因此,为了搞清active是否真的fail了,他会向其所有接口发送ARP请求:
§ 如果从failover link接口收到了回复,不failover
§ 如果从除了failover的接口收到了回复,不failover,而仅仅将failover link标记为failed状态
§ 如果没有收到回复,进行failover
○ 接口监控
§ 当一个FW从某接口没有收到hello包后(时间是hold time的一半),他会进行一系列的action,如果最后断定这个对方接口已经fail,且超过门限,就failover
7.配置
○ 硬件:failover的设备具有相同的型号、接口、flash、RAM。
○ license:其中一台是UR,另外一台可以是FO、FO_AA、UR。restricted的license不能用来failover;若一台具有FO、FO_AA的FW在单独使用,他会每24小时重启
○ 所有PIX既支持lan-based,也支持cable-based,ASA只支持lan-based,5505不支持状态化failover
2. Failover link
○ 传送以下信息
§ 设备的状态:active或者standby
§ hello消息
§ 链路状态
§ MAC地址交换
§ 配置同步
○ 使用交叉线直接连接或者经过SW连接,SW开启portfast
3. Stateful link
○ 使用指定的以太口连接或者共享failover链路
○ 可以直连或者经过SW,SW开启portfast
4. Active/standby failover
○ active、standby和primary secondary的概念见我写的《failover基础》
○ 状态决定
§ 若primary、secondary同时正常启动,则primary成为active
§ primary的MAC和active IP总是成对出现,除非出现secondary成为active后,无法通过failover link获取primary的MAC时(如secondary首先启动,而primary没有启动;或者failover link断开)
○ 设备初始化和配置同步
§ 配置文件总是从active同步给standby,当standby启动后,他会清除自己的running-config,然后active会发送自己所有的配置给standby
§ active设备的决定
□ 如果一个设备启动了,他从failover得知已经有了active,则自己成为standby
□ 如果一个设备启动了,没有检测到对端,则自己成为active
□ 如果设备同时启动,那么active是primary
§ 注意点:如果secondary先启动了,他就成为active,此时他会用自己的MAC来和active IP成对,然而,当primary启动后,就像前面提到的,primary的MAC和active IP总是成对的,所以导致secondary的MAC被primary的MAC代替,这样造成重新学习ARP,网络中断。为了避免此类事件,尽量让primary首先启动,或者配置固定MAC,后面会讲。
§ 当配置同步开始后,active出现log:beginning configuration replication : sending to mate,结束后出现: end configuration replication to mate。注意,在配置同步过程中,绝对不能在active或者standby上敲命令,这样对导致所敲的命令无法同步。同步到standby上的命令保存在running-config中,需要在active上敲wr来同时保存active和secondary的配置,或者通过在active上敲wr standby来仅仅保存standby的命令
§ 所有在active上敲的命令会立即同步到standby上去,除了关于failover、debug、mode的配置
§ failover的触发条件(任意一项即可)
□ active的硬件故障或者电源故障
□ active软件故障
□ Monitor接口fail
□ 在standby上输入failover active或者在active上输入no failover active
§ 触发/不触发failover的具体条件
□ Active fail(电源或者硬件故障),触发failover(standby通过hello感知)
□ 原先的active恢复了,不触发failover
□ Standby fail,不触发failover,同时active即使在门限到了也不会尝试触发failover
□ Failover link失效,不failover
□ 在设备启动时failover link失效,primary和secondary同时成为active
□ Stateful link失效,不failover
□ active的接口failed,但是在门限内,不failover
□ active的接口failed,超过门限,failover
5. 状态化failover
○ active会持续将状态信息发给standby
○ 状态信息包括诸如NAT、TCP、UDP、ARP、桥接、HTTP、IPSec信息
6. 健康检测
○ 当standby连续3个hello时间内没有收到active发来的数据包,他会认为active可能fail了(因为也有可能是failover link故障了),因此,为了搞清active是否真的fail了,他会向其所有接口发送ARP请求:
§ 如果从failover link接口收到了回复,不failover
§ 如果从除了failover的接口收到了回复,不failover,而仅仅将failover link标记为failed状态
§ 如果没有收到回复,进行failover
○ 接口监控
§ 当一个FW从某接口没有收到hello包后(时间是hold time的一半),他会进行一系列的action,如果最后断定这个对方接口已经fail,且超过门限,就failover
7.配置
各接口划分在同一VLAN,这样sh failover时就不会卡在waiting状态.
普通FO,5条命令,状态化6条
int e0/3
no sh
failover lan unit primary
failover lan int failover e0/3
failover link e0/3 //这条是状态化.只需要在primary上敲就可以了
failover int ip failover 207.7.55.10 255.255.255.0 stand 207.7.55.20
failover key cisco
failover
SECOND的配置一样
failover lan unit second //唯一不同.
LINK不用敲了
普通FO,5条命令,状态化6条
int e0/3
no sh
failover lan unit primary
failover lan int failover e0/3
failover link e0/3 //这条是状态化.只需要在primary上敲就可以了
failover int ip failover 207.7.55.10 255.255.255.0 stand 207.7.55.20
failover key cisco
failover
SECOND的配置一样
failover lan unit second //唯一不同.
LINK不用敲了
转载于:https://blog.51cto.com/72297/343711