Leaflet
15-26
思科 ASA 系列命令参考,A 至 H 命令
第 15 章 failover 至 fallback 命令
failover link
注意 在直接连接到 ASA 的思科交换机端口上启用 PortFast 选项。
如果使用故障切换链路作为 Stateful Failover(状态故障切换)链路,则应该使用可用的最快以太
网接口。如果在该接口上遇到性能问题,请考虑将一个独立接口专用于 Stateful Failover(状态故
障切换)接口。
如果使用数据接口作为 Stateful Failover(状态故障切换)链路,则在您指定该接口作为 Stateful
Failover(状态故障切换)链路时,会收到以下警告:
******* WARNING ***** WARNING ******* WARNING ****** WARNING *********
Sharing Stateful failover interface with regular data interface is not
a recommended configuration due to performance and security concerns.
******* WARNING ***** WARNING ******* WARNING ****** WARNING *********
与 Stateful Failover(状态故障切换)接口共用数据接口可能使您容易遭受重播攻击。此外,接口
上可能会发送大量状态故障切换流量,导致该网段出现性能问题。
注意 只有在单情景路由模式下支持将数据接口用作状态故障切换接口。
在多情景模式下,状态故障切换链路位于系统情景中。此接口和故障切换接口是系统情景中仅有
的接口。所有其他接口均分配到安全情景内部并从其中配置。
注意 除非状态故障切换链路配置在常规数据接口上,否则状态故障切换链路的 IP 地址和 MAC 地址不
会在故障切换时更改。
注意事项 通过故障切换和状态故障切换链路发送的所有信息均以明文发送,除非您使用故障切换密钥加密
通信。如果使用 ASA 端接 VPN 隧道,则此信息包括用于建立隧道的任何用户名、密码和预共享
密钥。以明文发送此敏感数据可能会带来严重的安全风险。如果要使用 ASA 端接 VPN 隧道,建
议通过故障切换密钥来加密故障切换通信。
示例 以下示例展示如何指定专用接口作为状态故障切换接口。示例中的接口没有现有配置。
ciscoasa(config)# failover link stateful_if e4
INFO: Non-failover interface config is cleared on Ethernet4 and its sub-interfaces
相关命令
命令 说明
failover interface ip
配置 failover 命令和状态故障切换接口的 IP 地址。
failover lan interface
指定用于故障切换通信的接口。