配置PIX双机failover的要点

配置PIX双机failover的要点(2) • Fast Ethernet (100BASE-T) full duplex
• Gigabit Ethernet (GE) (1000BASE-T) full duplex
在配有GE端口的PIX 535上， 必须选择GE端口配置state link。
两设备的state link端口虽然可以使用交换机相连，但为避免额外的故障点，还是推荐使用交叉线直接将端口相连。在LAN-based failover中，我们可以将state link与Failover Link设置为使用同一连接（推荐尽可能使用两个链路），但此时不能用交叉线直连。

3，关于配置同步
＃ 当standby设备完成初始化启动时，会从active设备同步配置；
＃ 配置同步只改变running-config，而不会把配置存到FLASH memory中；
＃ 在Active设备上输入的指令会立刻被同步到Standby设备上；
＃ 在active设备上输入write memory命令时，standby设备也会将配置写入Flash memory；
＃ 在Standby设备上输入的指令不会被同步到Active设备；
＃ 如果两设备的startup-config不同，在设备启动后，Secondary设备会根据Primary设备的running-config同步自己的running-config；
＃ 在active设备上输入write standby命令时，standby设备会从active设备同步配置；

4，配置示例
例1 Cable-Based Failover Configuration
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 shutdown
interface ethernet3 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet3 state security20
enable passWord farscape encrypted
password crichton encrypted
telnet 192.168.2.45 255.255.255.255
hostname pixfirewall
ip address outside 209.165.201.1 255.255.255.224
ip address inside 192.168.2.1 255.255.255.0
ip address state 192.168.253.1 255.255.255.252
failover ip address outside 209.165.201.2
failover ip address inside 192.168.2.2
failover ip address state 192.168.253.2
failover link state(注意:此处定义的是上文所述的“State Link”)
failover
global (outside) 1 209.165.201.3 netmask 255.255.255.224
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 209.165.201.5 192.168.2.5 netmask 255.255.255.255 0 0
Access-list acl_out permit tcp any 209.165.201.5 eq 80