cisco ASA5520的Standby的工作原理

qrqp113 2008-04-10 05:42:44

在一个接口上,比如防火墙的inside和outside接口上都配置了两个地址:
interface gigabitEthernet 0/0
nameif outside
security-level 0
ip address 10.0.0.1 255.255.255.248 standby 10.0.0.2
no shutdown

interface gigabitEthernet 0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.192 standby 192.168.0.2
no shutdown
请问每个接口上的standby是如何工作的,在什么情况下,后面的地址会生效,不生效时后面的地址是什么状态..
另外同此防火墙互连的设备要针对防火墙的这个特殊的standby做什么相应配置吗?比如路由.

...全文

996 5 打赏收藏转发到动态举报

写回复

5 条回复

切换为时间正序

请发表友善的回复…

发表回复

cyonion 2010-10-21

打赏
举报

回复

还是不大明白

一半乐事 2008-04-11

打赏
举报

回复

standby IP 是另一台防火墙的IP，这是在双机热备时用到的。当主用（本机）防火墙故障时，failover机制会使流量自动切换到另一台防火墙。
双机有active/active和active/standby两种模式，standby地址是一直生效的。

与防火墙相连的设备(假设为A)不用做特殊配置，因为A连接的防火墙的IP地址是确定的，也就是说如果是双机，两台防火墙连接A的端口的配置是一样的（用同一个地址），从这个角度看，你列出的配置可能是错误的。

一半乐事 2008-04-11

打赏
举报

回复

[Quote=引用 2 楼 qrqp113 的回复:]
非常感觉上面朋友的回复.failover机制我基本了解了.我想问的是防火墙的inside和outside接口上配置standby地址的问题.是如何工作的.比如对同防火墙的outside口相连的上层路由器或同inside相连的三层交换上的配置没有没影响..
[/Quote]

以ip address 10.0.0.1 255.255.255.248 standby 10.0.0.2为例：
当防火墙处于active状态时，该端口地址为10.0.0.1，当防火墙处于standy状态时，该端口地址为10.0.0.2.
可以看出，outside端口的地址永远都是10.0.0.1，因此对于端口上连接的其它设备，没有影响。

beyondtc 2008-04-11

打赏
举报

回复

上下都只需要知道虚拟出来的那个IP即可！

qrqp113 2008-04-11

打赏
举报

回复

非常感觉上面朋友的回复.failover机制我基本了解了.我想问的是防火墙的inside和outside接口上配置standby地址的问题.是如何工作的.比如对同防火墙的outside口相连的上层路由器或同inside相连的三层交换上的配置没有没影响..

asav 9.2.1版本，可以在vmware workstation上运行，测试oK。 Licensed features for this platform: Virtual CPUs : 0 perpetual Maximum Physical Interfaces : 10 perpetual Maximum VLANs : 50 perpetual Inside : Unlimited perpetual Failover : Active/Standby perpetual Encryption-DES : Enabled perpetual Encryption-3DES-AES : Enabled perpetual Security Contexts : 0 perpetual GTP/GPRS : Disabled perpetual Premium Peers : 2 perpetual Essentials : Disabled perpetual Other Peers : 250 perpetual Total Peers : 250 perpetual Shared License : Disabled perpetual for Mobile : Disabled perpetual for Cisco Phone : Disabled perpetual Advanced Endpoint Assessment : Disabled perpetual UC Phone Proxy Sessions : 2 perpetual Total UC Proxy Sessions : 2 perpetual Botnet Traffic Filter : Enabled perpetual Intercompany Media Engine : Disabled perpetual Cluster : Disabled perpetual

1.基本配置及配置内外网接口conft hostnameASAFW#设置主机名 enablesecretpass123#设置特权密码 clocktimezoneGMT8#设置时区 dnsdomain-lookupinside dnsserver-groupDefaultDNS name-server114.114.114.114 ...

ASA5520-1： ciscoasa>en Password: ciscoasa#conft ciscoasa(config)#hostnameASA5520 ASA5520(config)#intg0/0 ASA5520(config-if)#nameifoutside INFO:Securitylevelfor"outsid...

思科ASA部署Failover（Active/Standby） Failover Failover是思科防火墙一种高可用技术，能在防火墙发生故障时数秒内转移配置到另一台设备，使网络保持畅通，达到设备级冗余的目的。工作原理：两台设备型号一样（型号、内存、接口等），通过一条链路连接到对端（这个连接也叫心跳线）。该技术用到的两台设...

利用Failover技术可实现防火墙的冗余，提高可用性。实施了Failover的两台防火墙存在主备关系，工作时，对其他上下行设备来说，就可视为一台防火墙。在active上可进行正常的配置运转与操作，standby只是作为备份来存在，standby上不能进行任何形式的配置操作。当作为active的防火墙出现局部端口故障乃至全局故障时，standby会自动进行切换...

交换及路由技术

3,808

社区成员

12,781

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章