主用防火墻配置

failover? //啟動(dòng)failover功能

failoverlan unitprimary ?//定義本設(shè)備角色為主

failover lan interface Lan GigabitEthernet0/6 ?//定義failover通訊接口

failover polltime unit msec 200 holdtime 1 ? ? //每200毫秒發(fā)送一個(gè)存活消息，持續(xù)1秒（選配）

failover polltime interface 3 holdtime 15 ? ? ?//每3秒發(fā)送一個(gè)hello包，持續(xù)15秒（選配）

failoverkey cisco123? ? ? ? ? ? ? ? ? ? ? ? //定義共享密鑰相當(dāng)于認(rèn)證

failoverlinkSTATE GigabitEthernet0/7 ??//定義failover通訊接口

failoverinterfaceip Lan 172.16.1.1 255.255.255.252 standby 172.16.1.2 //定義主備通訊口ip

failoverinterfaceip STATE 172.16.2.1 255.255.255.252 standby 172.16.2.2 //定義主備通訊口ip

備用防火墻配置

failover lan unit secondary ?//定義本設(shè)備角色為備

failover lan interface Lan GigabitEthernet0/6 ?//定義failover通訊接口

failover polltime unit msec 200 holdtime 1 ? ? //每200毫秒發(fā)送一個(gè)存活消息，持續(xù)1秒?（選配）

failover polltime interface 3 holdtime 15 ? ? ?//每3秒發(fā)送一個(gè)hello包，持續(xù)15秒?（選配）

failover key cisco? ? ? ? ? ? ? ? ? ? ? ? //定義共享密鑰相當(dāng)于認(rèn)證

failover link STATE GigabitEthernet0/7 ??//定義failover通訊接口

failover interface ip Lan 172.16.1.1 255.255.255.252 standby?172.16.1.2//定義主備通訊口ip

failover interface ip STATE 172.16.2.1 255.255.255.252 standby 172.16.2.2 //定義主備通訊口ip

failover? //啟動(dòng)failover功能

當(dāng)在備用防火墻上敲完failover，大概5秒鐘后，會(huì)同步主用防火墻配置，設(shè)備不需要重啟

failover觸發(fā)：

關(guān)于防火墻的檢測(cè)對(duì)象（檢測(cè)失敗進(jìn)行主備切換）查找資料思考良久，后來(lái)知曉，思科設(shè)備檢測(cè)對(duì)象與山石、juniper不同，不需要人工配置干預(yù)，設(shè)備自動(dòng)檢測(cè)：

設(shè)備發(fā)生硬件失敗或電源故障

inside端口故障必切到備用

設(shè)備出現(xiàn)軟件失敗

太多monitored接口fail?//可通過(guò)命令修改（failoverinterface-policy +?端口數(shù)/故障端口百分比）

no failover active?命令在active設(shè)備上強(qiáng)制執(zhí)行或在standby設(shè)備輸入failoveractive

注意：failover觸發(fā)無(wú)法取消某個(gè)接口（如：Mgt口），且不能在設(shè)備的上下聯(lián)接口執(zhí)行shutdown命令模擬故障（由于執(zhí)行的命令會(huì)被同步至備設(shè)備，導(dǎo)致無(wú)法正常切換），只能通過(guò)拔插網(wǎng)線或硬件故障觸發(fā)。

常用命令：

show failover

show failover state ?//查看設(shè)備failover工作狀態(tài)

show monitor-interface ?//查看接口檢測(cè)狀態(tài)

參考鏈接：https://blog.51cto.com/11205200/1930514