您的位置:360文档中心› ASA Active Standby Failover实验

ASA Active Standby Failover实验

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

ASA Active/Standby Failover实验

配置前要注意的:在防火墙版本7.x以后引入了Multi Context的概念,可以让不同的Context 互为主备,并且增强了Failover的新特性,支持一种称为Active/Active的模式。这些功能增加了防火墙的使用效率和性能(主备模式实际工作的只有1台设备),此模式目前只被PIX 和ASA平台所支持。

拓扑:

配置:

SW1

--------------------

!

hostname SW1

!

interface FastEthernet0/2

description ASA1-e0/0

switchport access vlan 2

!

interface FastEthernet0/0

description R1-f0/0

switchport access vlan 2

!

interface FastEthernet0/3

description ASA2-e0/0

switchport access vlan 2

!

interface FastEthernet0/4

description ASA1-e0/1

switchport access vlan 3

!

interface FastEthernet0/1 description R2-f0/0

switchport access vlan 3

!

interface FastEthernet0/5 description ASA2-e0/1

switchport access vlan 3

!

-------------------------------------------

R1

-------------------------------

!

hostname R1

!

interface Loopback0

ip address 1.1.1.1 255.255.255.255 !

interface FastEthernet0/0

ip address 192.168.1.2 255.255.255.0 !

ip route 0.0.0.0 0.0.0.0 192.168.1.1 !

-----------------------------------------

R2

-----------------------------

!

hostname R1

!

interface Loopback0

ip address 2.2.2.2 255.255.255.255 !

interface FastEthernet0/0

ip address 172.16.1.2 255.255.255.0 !

ip route 0.0.0.0 0.0.0.0 172.16.1.1

!

----------------------------

ASA1

-----------------------------------

!

hostname ASA1

!

//防火墙失效监测包含所有接口(inside、outside),这些接口需要设置主备IP地址,供主备防火墙用于存活检测(机制为每隔5秒钟发送检测报文),否之可能接口失效,也无法触发切换:

!

interface Ethernet0/0

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0 standby 192.168.1.3

!

interface Ethernet0/1

nameif outside

security-level 0

ip address 172.16.1.1 255.255.255.0 standby 172.16.1.3

!

access-list 110 extended permit icmp any any log

access-group 110 in interface outside //放行流量通过,这是基本配置了

!

route outside 0.0.0.0 0.0.0.0 172.16.1.2

route inside 2.2.2.2 255.255.255.255 192.168.1.2

!

failover

failover lan unit primary //设置ASA1为主设备,并且用的是网线互联

failover lan interface AA e0/2 //设置failover的接口

failover interface ip AA 10.0.0.1 255.255.255.0 standby 10.0.0.2 //设置failover主备地址

!

interface Ethernet0/2

description LAN Failover Interface //要no shut接口才生效,这个就不多解析了

no shut

!

//如果要减少失效切换期间的报文丢失,以及避免重建会话,需要使用stateful的全状态failover监控,必需用1条单独的链路专门负责同步状态数据库,添加以下配置使接口e0/3专门用于同步状态(记得先配置接口no shutdown)

!

failover link state e0/3 //stateful端口命名为state,对应端口e0/3,和failover非同一接口failover interface ip state 11.0.0.1 255.255.255.0 standby 11.0.0.2

!

---------------------------------

ASA2 //secondary的配置(只需要配置failover接口,其他都会从primary学习到,包括对于state link的配置,都不需要在secondary的ASA上做配置,直接从primary ASA上同步学习到)

相关文档
最新文档