生活隨筆

PIX-515 Firewall Failover 設定 [IOS版本為 7.0(2)]

LAN-based 的 failover 設定比 cable-based 步驟多了一點
但是LAN-based 的優點比較多,因此我們將針對LAN-based 做說明
PIX-515 Firewall Failover 設定 [IOS版本為 7.0(2)]

Failover分為兩種：
1. cable-based failover
兩設備間距離不超過6英尺(約1.83米)時，即可使用這種方式。因為設備可以通過
此Cable感知對方的電源狀態，而且能分辨出是設備斷電，還是根本沒插電源線。
Failover Cable是一種改進的RS-232 Cable(115 Kbps)，一端標有"Primary"
用以連接primary設備，另一端標有 "Secondary" 用以連接secondary 設備。

2. LAN-based failover
此方式一定要通過SWITCH（建議使用單獨的Switch）進行連接，或者使用VLAN
進行連接，不能使用跳線直接對連。

以下說明使用LAN-based failover 並啟用 Stateful Failover，設定流程如下：
請注意以下 IOS版本為 7.0(2)
1.完成 Primary Firewall 的各項設定
pix515(config)# int e5
pix515(config-if)# security-level 20 (設定security-level為20)
pix515(config-if)# descr LAN/STATE Failover Interface
pix515(config-if)# ip address 192.168.1.253 255.255.255.192 standby 192.168.1.254
pix515(config-if)# speed 100 (一定要定速)
pix515(config-if)# duplex full (一定要指定為全雙工,不可以設為自動偵測)
pix515(config-if)# no shut
pix515(config-if)# exit
pix515(config)# failover link e5 (設定Stateful Failover)
pix515(config)# failover lan unit primary (指定此機器設為primary)
pix515(config)# failover lan interface e5 (使用e5介面作為LAN-based failover)
pix515(config)# failover replication http (replication http 通訊協定)
pix515(config)# failover lan enable (啟用LAN-based failover功能)
pix515(config)# failover (設定完成)
pix515(config)# exit
pix515# wr mem

2.接下來請將Secondary防火牆上，除了e5網卡不要插線之外，
其他需要用到的網卡請插上網路線，並將電源打開。
pixfirewall> en
Password:
pixfirewall# conf t
pixfirewall (config)# int e5
pixfirewall (config-if)# security-level 20 (設定security-level為20)
pixfirewall (config-if)# descr LAN/STATE Failover Interface
pixfirewall (config-if)# ip address 192.168.1.253 255.255.255.192 standby 192.168.1.254
pixfirewall (config-if)# speed 100
pixfirewall (config-if)# duplex full
pixfirewall (config-if)# no shut
pixfirewall (config-if)# exit
pixfirewall (config)# failover link e5 (設定Stateful Failover)
pixfirewall (config)# failover lan unit secondary (指定此機器設為secondary)
pixfirewall (config)# failover lan interface e5 (使用e5介面作為LAN-based failover)
pixfirewall (config)# failover lan enable (啟用LAN-based failover功能)
pixfirewall (config)# failover (設定完成)

3.然後接上e5的網路線，接著回到Primary 防火牆
pix515# wr stand (將設定同步到secondary)
pix515# wr mem (存檔)
pix515# sh fa (show出 failover 的狀態) ...... 完成了!!!