PIX防火墙基本特性：失效处理机制和冗余-原理与实验

（1）术语

（2）基本过程

Step 1：活动单元将它的所有配置复制给备用单元，命令通过失效处理机制电缆发送

Step 2：每隔15秒发送一个专用的Hello分组

Step 3：备用单元在规定时间内没有收到两个连续的Hello分组

Step 4：将活动控制转移到备用单元，同时失效处理机制通过各种测试来测试接口

（3）实验

注意：做该实验前要在PIX防火墙上导入激活码

这里R2作为Internet

第一步：R1、R2配置（略）

第二步：FW1配置访问Internet

第三步：FW1-Failover配置

第四步：FW2-Failover配置

第一步：R1、R2配置（略）

第二步：FW1配置访问Internet

接口配置：

FW1(config)#interface e0

FW1(config-if)#no shutdown

FW1(config-if)#ip add 192.168.1.254 255.255.255.0

FW1(config-if)#nameif inside

FW1(config-if)#security-level 100

FW1(config)#interface e1

FW1(config-if)#no shutdown

FW1(config-if)#ip add 100.1.1.1 255.255.255.0

FW1(config-if)#nameif outside

FW1(config-if)#security-level 100

FW1(config)#interface e2

FW1(config-if)#no shutdown

FW1(config-if)#ip add 10.1.12.1 255.255.255.0

FW1(config)#interface e3

FW1(config-if)#no shutdown

FW1(config-if)#ip add 10.2.12.1 255.255.255.0

默认路由、NAT配置

FW1(config)#route outside 0 0 100.1.1.2

FW1(config)#access-list NAT permit ip any any

FW1(config)#nat (inside) 1 access-list NAT

FW1(config)#global (outside) 1 interface

第三步：FW1-Failover配置

FW1(config)#failover //开启失效处理功能

FW1(config)#failover lan enable //开启基于LAN的失效处理功能

FW1(config)#failover key cisco //开户失效处理功能的认证

FW1(config)#failover lan unit primary //设置为活动单元

FW1(config)#failover lan interface PZ Ethernet2 //把e2接口命名为PZ，并定义为配置接口

FW1(config)#failover lan link ZT Ethernet3 //把e3接口命名为ZT，并定义为状态接口

FW1(config)#failover interface ip PZ 10.1.12.1 255.255.255.0 standby 10.1.12.2 //指定主要配置接口和次要配置接口，并为主要配置接口配置IP地址

FW2(config)#failover interface ip ZT 10.2.12.1 255.255.255.0 standby 10.2.12.2 //指定主要状态接口和次要状态接口

第四步：FW2-Failover配置

基本接口配置：

FW2(config)#interface e0

FW2(config)#no shudown

FW2(config)#interface e1

FW2(config)#no shutdown

FW2(config)#interface e2

FW2(config)#no shutdown

FW2(config-if)#ip address 10.1.12.2 255.255.255.0

FW2(config)#interface e3

FW2(config)#no shutdown

FW2(config)#ip address 10.2.12.2 255.255.255.0

Failover配置：

FW1(config)#failover //开启失效处理功能

FW1(config)#failover lan enable //开启基于LAN的失效处理功能

FW1(config)#failover key cisco //开户失效处理功能的认证

FW1(config)#failover lan unit secondary //设置为备用单元

FW1(config)#failover lan interface PZ Ethernet2 //把e2接口命名为PZ，并定义为配置接口

FW1(config)#failover lan link ZT Ethernet3 //把e3接口命名为ZT，并定义为状态接口

FW1(config)#failover interface ip PZ 10.1.12.1 255.255.255.0 standby 10.1.12.2 //指定主要配置接口和次要配置接口

FW2(config)#failover interface ip ZT 10.2.12.1 255.255.255.0 standby 10.2.12.2 //指定主要状态接口和次要状态接口