PIX的A/S測試

1.測試拓撲：

2.配置步驟：

A.測試心跳連通性：

①FW1：

interface Ethernet2

 nameif failover

 ip add 192.168.1.1 255.255.255.0

 no shut

②FW2：

 interface Ethernet2

 ip add 192.168.1.2 255.255.255.0

③測試：

FW1(config-if)# ping 192.168.1.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 30/40/50 ms

FW1(config-if)#

④清除接口配置：

(config)# clear configure interface ethernet 2

B.primary牆配置：

interface Ethernet0

 nameif outside

 security-level 0

 ip address 10.1.1.1 255.255.255.0 standby 10.1.1.254 

interface Ethernet1

 nameif inside

 security-level 100

 ip address 20.1.1.1 255.255.255.0 standby 20.1.1.254

failover lan unit primary

failover lan interface FO Ethernet2

failover lan enable

failover key cisco

failover link FO Ethernet2

failover interface ip FO 192.168.1.1 255.255.255.0 standby 192.168.1.2

failover

最後敲failover

C.secondary牆配置：

failover lan unit secondary

最後敲failover，并将心跳線no shutdown。

備牆隻需以上指令，其餘的配置會自動同步過來。

3.測試：

A.開啟icmp審查：

FW1(config)# policy-map global_policy

FW1(config-pmap)#  class inspection_default

FW1(config-pmap-c)# inspect icmp 

B.R1、R2配置接口位址和預設路由：

R1(config)#int f0/0

R1(config-if)#ip add 10.1.1.8 255.255.255.0

R1(config-if)#no sh

R1(config-if)#ip route 0.0.0.0 0.0.0.0 10.1.1.1

R2(config)#int f0/0

R2(config-if)#ip add 20.1.1.8 255.255.255.0

R2(config-if)#no sh

R2(config-if)#ip route 0.0.0.0 0.0.0.0 20.1.1.1

C.在R2上開啟ping：

R2#ping 10.1.1.8 repeat 10000

D.R3上shutdown與FW1連線的接口：

R3(config-if)#int f0/2

R3(config-if)#shut

R3(config-if)#shutdown

E.R2終止ping，可以看到有丢包：

Sending 10000, 100-byte ICMP Echos to 10.1.1.8, timeout is 2 seconds:

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!..............!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.

Success rate is 97 percent (511/526), round-trip min/avg/max = 4/42/160 ms 

4.注意事項：

A.不能通過shutdown主牆的接口來使主備切換，這樣隻能把配置傳到備牆，備牆隻是把接口shutdown。

B.A/S沒有配置搶占的地方

C.終止路由器ping操作的快捷方式為ctrl+shif+6

D.PIX比ASA多一條指令：failover lan enable

E.standby 位址在網絡中ping不通，備機無法進行管理，備牆的狀态通過主機show failover可以看的到。

本文轉自 碧雲天 51CTO部落格，原文連結：http://blog.51cto.com/333234/948972，如需轉載請自行聯系原作者