A/S failover全部知识点[总结]

1. failover的需求
○ 硬件:failover的设备具有相同的
型号、接口、flash、RAM。
○ license:其中一台是UR,另外一台可以是FO、FO_AA、UR。restricted的license不能用来failover;若一台具有FO、FO_AA的FW在单独使用,他会每24小时重启
○ 所有
PIX既支持lan-based,也支持cable-based,ASA只支持lan-based,5505不支持状态化failover

2. Failover link
○ 传送以下信息
  § 设备的状态:active或者standby
  § hello消息
  § 链路状态
  § MAC地址交换
  § 
配置同步
○ 使用交叉线直接连接或者经过SW连接,
SW开启portfast

3. Stateful link
○ 使用指定的以太口连接或者共享failover链路
○ 可以直连或者经过SW,SW开启portfast

4. Active/standby failover
○ active、standby和primary secondary的概念见我写的《failover基础》

○ 状态决定
  § 若primary、secondary同时正常启动,则primary成为active
  § 
primary的MAC和active IP总是成对出现,除非出现secondary成为active后,无法通过failover link获取primary的MAC时(如secondary首先启动,而primary没有启动;或者failover link断开)
○ 设备初始化和配置同步
  § 配置文件总是从active同步给standby,当standby启动后,他会清除自己的running-config,然后active会发送自己所有的配置给standby
  § active设备的决定
   
□ 如果一个设备启动了,他从failover得知已经有了active,则自己成为standby
   □ 如果一个设备启动了,没有检测到对端,则自己成为active
   □ 如果设备同时启动,那么active是primary

  § 注意点:如果secondary先启动了,他就成为active,此时他会用自己的MAC来和active IP成对,然而,当primary启动后,就像前面提到的,primary的MAC和active IP总是成对的,所以导致secondary的MAC被primary的MAC代替,这样造成重新学习ARP,
网络中断。为了避免此类事件,尽量让primary首先启动,或者配置固定MAC,后面会讲。
  § 当配置同步开始后,active出现log:beginning configuration replication : sending to mate,结束后出现: end configuration replication to mate。注意,
在配置同步过程中,绝对不能在active或者standby上敲命令,这样对导致所敲的命令无法同步。同步到standby上的命令保存在running-config中,需要在active上敲wr来同时保存active和secondary的配置,或者通过在active上敲wr standby来仅仅保存standby的命令
  § 所有在active上敲的命令会立即同步到standby上去,除了关于failover、debug、mode的配置
  § failover的触发条件(任意一项即可)
   □ active的硬件故障或者电源故障
   □ active软件故障
   □ Monitor接口fail
   □ 在standby上输入failover active或者在active上输入no failover active
  § 触发/不触发failover的具体条件
   □ Active fail(电源或者硬件故障),触发failover(standby通过hello感知)
   □ 原先的active恢复了,不触发failover
   □ Standby fail,不触发failover,同时active即使在门限到了也不会尝试触发failover
   □ Failover link失效,不failover
   
□ 在设备启动时failover link失效,primary和secondary同时成为active
   □ Stateful link失效,不failover
   
□ active的接口failed,但是在门限内,不failover
   □ active的接口failed,超过门限,failover
   
5. 状态化failover
○ active会持续将状态信息发给standby
○ 状态信息包括诸如NAT、TCP、UDP、ARP、桥接、HTTP、
IPSec信息

6. 健康检测
○ 当standby连续3个hello时间内没有收到active发来的数据包,他会认为active可能fail了(因为也有可能是failover link故障了),因此,为了搞清active是否真的fail了,他会向其所有接口发送ARP请求:
  § 如果从failover link接口收到了回复,不failover
  § 如果从除了failover的接口收到了回复,不failover,而仅仅将failover link标记为failed状态
  § 如果没有收到回复,进行failover
○ 接口监控
  § 当一个FW从某接口没有收到hello包后(时间是hold time的一半),他会进行一系列的action,如果最后断定这个对方接口已经fail,且超过门限,就failover
  
7.配置

各接口划分在同一VLAN,这样sh failover时就不会卡在waiting状态.
普通FO,5条命令,状态化6条


int e0/3
no sh

failover lan unit primary
failover lan int failover e0/3
failover link e0/3    //这条是状态化.只需要在primary上敲就可以了
failover int ip failover 207.7.55.10 255.255.255.0 stand 207.7.55.20
failover key cisco
failover

SECOND的配置一样
failover lan unit second //唯一不同.
LINK不用敲了

你可能感兴趣的:(职场,Failover,休闲)