配置PIX Failover(二)

核心提示：配置基于LAN的Failover从PixOS 6.2开始支持基于LAN的Failover，这样，配置PIX Failover(二)，就不再需要Fairover电缆了，基于LAN的Fairover突破了Failover的6英尺的距离限制，在这种情况不，不能使用Pix-1GE或PIX-1FE的卡，注意要配置基于LAN的Fa

配置基于LAN的Failover

从PixOS 6.2开始支持基于LAN的Failover，这样，就不再需要Fairover电缆了。基于LAN的Fairover突破了Failover的6英尺的距离限制。

注意　要配置基于LAN的Failover，每台PIX需要一个单独的以太接口，并且必须接在一台交换的交换机或一个单独的VLAN上。不能使用交叉线将两台PIX直接连接起来。

在基于LAN的Failover中，Fairover消息通过LAN进行传输，所有相关的安全性要低于基于Failover电缆的做法，在PIX os 6.2中提供了一种使用手工预先设置共享密码的加密与认证机制。

配置步骤：

第一步　在活动的PIX上面用Clock set命令设置时钟

第二步　将主、从PIX上除用于LAN Fairover以外的所有配置了IP地址的所有接口的网线都接好。

第三步　如果连接了Fairover电缆，把它给拨掉。

第四步　只配置主PIX.在主PIX上使用write mem命令时，配置会自动写到备用PIX的FLASH中。

注意　在系统提示可以打开备用Pix前，不要给备用PIX上电。

第五步　使用conf t命令进入配置模式

第六步　确认在配置的任何一个interface命令中都没有使用auto或1000auto选项，要查看interface命令，可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。

注意　如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时，一要要注意在interface命令中使用100full或1000sxfull选项，而且在Stateful Failover连接上的MTU一定要设置为1500或更大。

Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度，例如，inside和outside使用的安装在总线0上的PIX-1GE-66卡，则Failover连接必须也使用PIX-1GE-66卡，并安装在总线1上，在这种情况不，不能使用Pix-1GE或PIX-1FE的卡，也不能在总线2或使用一个更慢的卡共享总线1的。