ASA双主 Failover配置操作
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ASA Active/Acitve FO
注:以下理论部分摘自百度文库:
ASA状态化的FO配置,要在物理设备起用多模式,必须创建子防火墙。在每个物理设备上配置两个Failover组(failover group),且最多配置两个。
Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,当主设备down掉的时候,备用设备能够马上接管主设备的工作,进而保持通信的连通性;Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接;活动设备的接口被monitor,用于发现是否要进行Failover切换Failover分为failover和Stateful Failover,即故障切换和带状态的故障切换。
不带状态的failover在进行切换的时候,所有活动的连接信息都会丢失,所有Client都需要重新建立连接信息,那么这会导致流量的间断。
带状态的failover,主设备将配置信息拷贝给备用设备的同时,也会把自己的连接状态信息拷贝给备用设备,那么当主的设备down的时候,由于备用设备上保存有连接信息,因此Client不需要重新建立连接,那么也就不会导致流量的中断。
Failover link
两个failover设备频繁的在failover link上进行通信,进而检测对等体的状态。以下信息是通过failover link通信的信息:
●设备状态(active or standby);
●电源状态(只用于基于线缆的failover;)
●Hello messages (keep-alives);
●Network link 状态;
●MAC地址交换;
●配置的复制和同步;
(Note :所有通过failover 和stateful failover线缆的信息都是以明文传送的,除非你使用failover key来对信息进行加密;)
Stateful link
在stateful link上,拷贝给备用设备的连接状态信息有:
●NAT 转换表;
●TCP连接状态;
●UDP连接状态;
●ARP表
●2层转发表(运行在透明模式的时候)
●HTTP连接状态信息(如果启用了HTTP复制)
●ISAKMP和IPSec SA表
●GTP PDP连接数据库
以下信息不会拷贝给备用设备:
●HTTP连接状态信息(除非启用了HTTP复制)
●用户认证表(uauth)
●路由表
●DHCP服务器地址租期
Failover包括LAN-Based Failover和Cable-Based Failover;对于PIX设备,只支持基于线缆(Cable-Based)的Failover;
Failover link
LAN-Based Failover link 可以使用未使用的接口来作为failover link。不能够使用配置过名字的接口做为failover接口,并且,failover接口的IP地址不能够直接配置到接口上;应使用专门的命令对其进行配置;该接口仅仅用于failover通信;两个failover接口之间必须使用专用的路径,如,使用专用的交换机,该交换机上不连接任何其他设备;或者使用正常交换机的时候,划一个VLAN,并且仅仅将failover接口划分到该VLAN中;
Cable-Based Failover link 这种failover对两个failover设备的距离有要求,要求距离不能超过6英尺;并且使用的线缆也是failover线缆,该线缆的一端标记“Primary”,另一端标记“Secondary”并且设备的角色是通过线缆指定的,连接在Primary端的设备被指定为主,连接在Secondary端的设备被指定为备;该线缆传送数据的速率为115Kbps;因此同步配置的速度相比LAN-Base的failover会慢;
Stateful Failover Link 如果使用带状态的Failover,那么就需要配置一个用于传送状态信息的线缆,你可以选用以下三种线中的一种作为stateful failover link:
●用专用的接口连接Stateful failover Link;
●使用LAN-Based failover,你也可以使用failover link作为stateful failover
link,即failover和stateful failover使用同一个线缆;——要求该接口是
fastest Ethernet;
●你也可以使用数据接口作为Stateful Failover接口,比如inside interface。
但是不推荐这样做;
每种failover又包含有Active/Active(以后简写为,A/A)和Active/Standby (以后简写为A/S)两类;
A/A failover,两个设备可以同时传送流量。这可以让你实现负载均衡。A/A failover只能运行在多虚拟防火墙模式下。
A/S failover,同一时间,只能有一个设备传输流量,另一个设备作为备份用,A/S failover即可以运行在single模式下,又能够运行在多模式下;
运行failover的两个设备,在硬件配置上要完全一样,比如必须要有相同的模块,相同的接口类型和接口数,相同的flash memory以及相同的RAM等;在软件上,两个设备要运行在相同的模式下面,必须有相同的主软件版本等;对于许可证,要求至少有一个设备要是UR版的许可证;
Active/Standby Failover
Active/Standby Failover(A/S)中,一个设备为活动设备,转发流量,另一个设备作为备份,当主设备down的时候,备份设备开始接管流量;备用设备接管以后,会继承主IP地址和MAC地址,继续转发流量;
Primary/Secondary status and Active/Standby Status
做FO的两台设备,必须指定一台为Primary,另一台为Secondary。Primary 和Secondary是一个物理概念,不会改变。