思科ASA部署Failover (Active/Standby)
思科ASA部署Failover
(Active/Standby)
Failover
Failover是思科防火墻一種高可用技術,能在防火墻發生故障時數秒內轉移配置到另一臺設備,使網絡保持暢通,達到設備級冗余的目的。
工作原理:
兩臺設備型號一樣(型號、內存、接口等),通過一條鏈路連接到對端(這個連接也叫心跳線)。該技術用到的兩臺設備分為Active設備(Primary)和Stanby設備(Secondary),這種冗余也可以叫AS模式。活躍機器處於在線工作狀態,備用處於待機狀態實時監控活躍設備是否正常。當主用設備發生故障後(接口down,設備斷電),備用設備可及時替換,替換為Avtive
拓撲如下:
實施配置:
實現failover,兩臺設備需要滿足以下的一些條件:
1.相同的設備型號和硬件配置:設備模塊、接口類型,接口數量,CPU,內存,flash閃存等
2.相同的軟件版本號,此處即指ASA的IOS版本,IOS版本需要高於7.0
3.相同的FW模式,必須同為路由模式或者透明模式
4.相同的特性集,如支持的加密同為DES或者3DES
5.合適的licensing,兩臺設備的license符合基本要求,能支持相同的failover
Master-FW 設備配置:
interfaceManagement0/0
management-only
shutdown
nameifmanagement
security-level100
ip address192.168.1.1 255.255.255.0
interfaceGigabitEthernet0/0
nameifoutside
security-level0
ip address209.165.201.2 255.255.255.0 standby 209.165.201.3
interface GigabitEthernet0/1
nameifinside
security-level100
ip address192.168.2.1 255.255.255.0 standby 192.168.2.2
interfaceGigabitEthernet0/2
descriptionSTATE Failover Interface
interfaceGigabitEthernet0/3
descriptionLAN Failover Interface
failover //啟動failover功能
failover lan unitprimary //定義本設備角色為主
failover laninterface Lan GigabitEthernet0/3 //定義failover通訊接口
failover polltimeunit msec 200 holdtime 1 //每200毫秒發送一個存活消息,持續1秒
failover polltimeinterface 3 holdtime 15 //每3秒發送一個hello包,持續15秒
failover key ***** //定義共享密鑰相當於認證
failover linkSTATE GigabitEthernet0/2 //定義failover通訊接口
failover interfaceip Lan 172.16.1.1 255.255.255.0 standby 172.16.1.2 //定義主備通訊口ip
failover interfaceip STATE 172.16.2.1 255.255.255.0 standby 172.16.2.2 //定義主備通訊口ip
Backup-FW設備配置:
failover //啟動failover功能
failover lan unitsecondary //定義本設備角色為備
failover laninterface Lan GigabitEthernet0/3 //定義failover通訊接口
failover polltimeunit msec 200 holdtime 1 //每200毫秒發送一個存活消息,持續1秒
failover polltimeinterface 3 holdtime 15 //每3秒發送一個hello包,持續15秒
failover key ***** //定義共享密鑰相當於認證
failover linkSTATE GigabitEthernet0/2 //定義failover通訊接口
failover interfaceip Lan 172.16.1.1 255.255.255.0 standby 172.16.1.2//定義主備通訊口ip
failover interfaceip STATE 172.16.2.1 255.255.255.0 standby 172.16.2.2 //定義主備通訊口ip
註意:主備配置完成後,重啟備防火墻,主備配置進行同步(只需配置主機,數據將備拷貝至備機)
failover觸發:
l 關於防火墻的檢測對象(檢測失敗進行主備切換)查找資料思考良久,後來知曉,思科設備檢測對象與山石、juniper不同,不需要人工配置幹預,設備自動檢測:
l 設備發生硬件失敗或電源故障
l 設備出現軟件失敗
l 太多monitored接口fail //可通過命令修改(failover interface-policy + 端口數/故障端口百分比)
l no failover active 命令在active設備上強制執行或在standby設備輸入failoveractive
註意:failover觸發無法取消某個接口(如:Mgt口),且不能在設備的上下聯接口執行shutdown命令模擬故障(由於執行的命令會被同步至備設備,導致無法正常切換),只能通過拔插網線或硬件故障觸發。
常用命令:
showfailover state //查看設備failover工作狀態
showmonitor-interface //查看接口檢測狀態
本文出自 “木子涵” 博客,轉載請與作者聯系!
思科ASA部署Failover (Active/Standby)