您的位置:360文档中心› CiscoASAFailover防火墙冗余

CiscoASAFailover防火墙冗余

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Failover

Failover是思科防火墙一种高可用技术,能在防火墙发生故障时数秒内转移配置到另一台设备,使网络保持畅通,达到设备级冗余的目的。

原理

前提需要两台设备型号一样(型号、内存、接口等),通过一条链路连接到对端(这个连接也叫)。该技术用到的两台设备分为Active设备(Primary)和Stanby设备(Secondary),这种冗余也可以叫AS模式。活跃机器处于在线工作状态,备用处于实时监控活跃设备是否正常。当主用设备发生故障后(接口down,设备断电),备用设备可及时替换,替换为Avtive的角色。Failover启用后,Primary 设备会同步配置文件文件到Secondary设备,这个时候也不能在Scondary添加配置,配置必须在Active进行。远程管理Failover设备时,登录的始终是active设备这一点一定要注意,可以通过命令(show failover)查看当时所登录的物理机器。目前启用failover技术不是所有状态化信息都可以同步,比如NAT转换需要再次建立。

配置Active设备:

interface Ethernet0

nameif outside

security-level 0

ip address standby //standby为备份设备地址

interface Ethernet1

nameif inside

security-level 100

ip address standby

ASA1(config)# failover lan unit primary //指定设备的角色主

ASA1(config)# failover lan interface failover Ethernet2 //Failover接口名,可自定义

ASA1(config)# failover link Fover Ethernet2//状态信息同步接口ASA1(config)# failover interface ip failover stan //配置Failover IP地址,该网段可使用私网地址

ASA1(config)# failover lan key xxxx //配置Failover 认证对端

ASA1(config)# failover //启用Failover;注意,此命令一定要先在Active上输入,否则会引起配置拷错;

将一个接口指定为failover 接口后,再show inter 的时候,该接口就显示为:interface Ethernet3

description LAN Failover Interface //确保接口up

配置standby设备:

ASA2(config)# inte Ethernet3

ASA2(configif)# no shutdown

ASA2(configif)# exit

ASA2(config)# failover lan unit secondary

ASA2(config)# failover lan interface failover Ethernet03

ASA1(config)# failover link Fover Ethernet2

ASA2(config)#failover inter ip failover standby failover key xxxx ASA2(config)# failover //先在Active设备运行此命令

两台设备同步信息后,配置只能在Active进行,备份设备hostname会和主设备相同。

远程网管时无法确定当前管理的设备,可使用show failover 查看,或者使用命令:

ASA1(config)# prompt hostname priority state

ASA1/pri/act(config)# //primary 设备active设备状态

ASA1(config)# prompt hostname priority state

ASA1/sec/stby(config)# //secondary设备standby状态

其他配置信息:

No failover active //主设备切换为备份状态

Failover active//切换为active状态

Show run failover //查看配置

Show failover //同ASA1(config)# show failover (以下是执行信息)

Failover On //开启状态

Failover unit Primary

Failover LAN Interface: Fover GigabitEthernet2 (up)

Unit Poll frequency 1 seconds, holdtime 15 seconds

Interface Poll frequency 5 seconds, holdtime 25 seconds

Interface Policy 1

Monitored Interfaces 2 of 60 maximum

Version: Ours (2), Mate (2)

Last Failover at: 21:05:31 UTC Apr 29 2016

This host: Primary - Standby Ready //主设备地址,是备份状态

Active time: 4440 (sec)

Interface outside Normal (Waiting)

Interface inside Normal (Waiting)

Other host: Secondary - Active //备设备地址,目前是主用设备

Active time: 533 (sec)

Interface outside Unknown (Waiting)

Interface inside Unknown (Waiting)

Stateful Failover Logical Update Statistics

Link : Fover GigabitEthernet2 (up)

Stateful Obj xmit xerr rcv rerr

General 670 0 646 0

sys cmd 641 0 641 0

up time 0 0 0 0

相关文档
最新文档