CISCO防火墙主备工作方式的配置.pdfVIP

CISCO 防火墙主备工作方式的配置 北京办事处 孙中祺 北京正在建设”全球通充值”工程 由于充值过程需要实时获得并修改用户帐户信息 而全球 通用户的帐户信息存储于BOSS系统中 需要建立智能网和BOSS系统的实时接口 原计划提供负荷 分担的两条2M系统 配置两台防火墙 但由于局方只同意提供一套2M 考虑到系统对实时性的要 求 利用FIX Firewall 的Failover功能 配置主备工作方式的防火墙 确保系统的实时通信 部分CISCO的FIX Firewall提供Failover功能 这种功能可以使我们在原有防火墙的基础上配置 一个备用防火墙 当主用防火墙发生故障或离线时 备用防火墙自动改变自身的状态 接管原主用 防火墙的IP和MAC地址 以继续维持通信 保证网络的畅通 与此同时原备机的IP和MAC会被映 射给现在的备机 因此切换后从内 外部网络来看不会有任何不同 整个网络不会有ARP方面的变 化 但普通的failover方式在切换的过程端口会被释放 然后重新连接 如果想在主备机切换的同 时还可以保持各端口的连接 使切换平滑过度 可以使用Stateful Failover 功能 不过这需要主备 机各增加一个网卡来支持 Failover功能要求主备机具有相同的型号 相同的软件版本 相同的Actovationg key,相同的 Flash memory,RAM型号及大小 换句话说 要求主备用的两台机器完全相同 而且要注意 并不 是所有型号的FIX Firewall都支持主备用设置 根据网上的资料 PIX 506不支持主备用配置 PIX515 PIX525 PIX535 只有具备 UR license时才可以配置成主备用工作方式 PIX 520 可无 条件地支持主备用配置 Failover可支持Ethernet.,Token Ring,Gigabit 以及FDDI接口 若使用Stateful Failover ,主备机都必须另外装有100Mbps Ethernet接口 使用FDDI 的firewall不能配置成Stateful Failover 所有配置工作都要在主机上进行 在主机配置完成以前不要启动备机 否则可能会影响备机的 配置信息 主机配置完成后启动备机 主机会将所需配置内容自动同步给备机 下面以一个实例来 说明配置过程 一 配置条件 在配置PIX之前 应该对网络进行详细的规划和设计 搜集需要的网络配置信息 要获得的信 息如下 1 每个PIX 网络接口的IP地址 2 如果要进行NAT, 则要提供一个IP地址池供NAT 使用 NAT 是网络地址转换技术 它可以将使 用保留地址的内部网段上的机器映射到一个合法的IP地址上以便进行Internet访问 3 外部网段的路由器地址 进入PIX配置界面的方法是 连接好超级终端 打开电源 在出现启动信息和出现提示符 pixfirewall后输入 enable 并输入密码 进入特权模式 当提示符变为pixfirewall#后 输入 configure terminal 再进入配置界面 在配置过程中 我们可以使用write terminal命令查看当 前配置 使用write memory保存配置信息到主机Flash Memory 备机配置信息同步后 可在主机上 使用write standby将配置信息保存到备机的Flash Memory 本例中网络规划如下 内侧网段 外侧网段 防火墙内侧分配地址 01 02 防火墙外侧分配地址 1 2 二 配置步骤 1 定义各协议端口号 fixup protocol ftp 21 fixup protocol http 80 fixup protocol smtp 25 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol sqlnet 1521 2 网络接口的配置 PIX使用nameif和ip address命令进行网络接口配置 首先使用下面的语句定义内部网段和外 部网段的网络接口 nameif ethernet 1 outside secu