2. 程式人生 > >ASA Failover

ASA Failover

阿新 發佈:2019-01-13

1、ASA Failover狀態:

配置Failover需要兩個相同的ASA裝置,兩個ASA裝置通過專門的故障轉移鏈路相互連線。

ASA Failover有兩種狀態Active/Active failover  &  Active/Standby failover.

A/A:該狀態的Failover兩個ASA裝置都可以轉發流量,但是隻有multiple context模式可以使用。

該模式的原理是劃分security context到兩個Failover groups,一個組在Primary ASA上被指定為Active,另一個組在Secondary ASA上被指定為Active(一個Failover group是一個或多個secondary context的邏輯組)。但Failover發生的時候,是在Failover group級別發生的。

A/S:該狀態的Failover只有Active角色可以轉發流量,而Standby處於不活躍的狀態,監控Active的狀態,一旦Failover發生,Active角色將由Standby角色接管,該狀態single context和multiple context都可以使用。

 

兩種模式的Failover都支援狀態化和非狀態化Failover。

 

2、Failover系統需求

硬體:

-相同模型model(PID)

-相同數量型別的介面對於Firepower 4100/9300機箱,在啟用Failover之前,所有介面必須在FXOS中進行相同的預配置。 如果在啟用故障轉移後更改介面,請在Standby裝置上的FXOS中更改介面,然後在Active裝置上進行相同的更改。 如果刪除FXOS中的介面(例如,如果移除網路模組,刪除EtherChannel或將介面重新分配給EtherChannel),則ASA配置會保留原始命令,以便您可以進行任何必要的調整; 從配置中刪除介面會產生比較大的影響。 你可以在ASA OS中手動刪除舊介面配置。

-安裝相同的模組

-安裝相同大小的RAM如果在Failover配置中使用具有不同快閃記憶體大小的裝置,請確保具有較小快閃記憶體的裝置有足夠的空間容納軟體映像檔案和配置檔案。 如果沒有,則從具有較大快閃記憶體的裝置到具有較小快閃記憶體的裝置的配置同步將失敗。

 

軟體:

-相同的防火牆模式(路由模式/透明模式)

-相同的context模式(singe/multiple)

-相同的軟體版本(包括主版本和小版本如version x.y)您可以在升級過程中臨時使用不同版本的軟體; 例如,您可以將一個單元從版本8.3(1)升級到版本8.3(2),並使故障轉移保持活動狀態。思科建議將兩個裝置升級到相同版本,以確保長期相容性。

-有相同的anyconnect映象【如果Failover pair在不中斷的升級過程中發現映象不匹配,然後clientless SSL VPN連線在升級過程最後的重啟步驟中終止。資料庫中顯示孤立會話,並且IP地址池顯示分配給客戶端的地址為“in use”】

 

license需求:

Failover配置中的兩個裝置不需要具有相同的license,license會組合在一起以生成Failover cluster license。

 

3、Failover Link和State Failover Link

3.1 Failover Link:

Failover pair中的兩個裝置不斷通過Failover link進行通訊,以確定每個裝置的執行狀態。

Failover link中的資料主要包括:active&standby狀態、hello資訊(可以認為是keepalive)、網路連結狀態、MAC地址交換、配置的複製和同步。

 

什麼介面可以作為Failover介面呢?

You can use any unused data interface (physical, subinterface, redundant, or EtherChannel) as the failover link

注意:無法指定當前配置名稱的介面。Failover link介面不能被配置為正常的網路介面,它只承載Failover資訊互動。在大多數情況下,不能使用management介面給Failover使用(除非有如下的描述)。

5506-X through 5555-X—You cannot use the Management interface as the failover link; you must use
a data interface. The only exception is for the 5506H-X, where you can use the management interface
as the failover link.

 

5506H-X—You can use the Management 1/1 interface as the failover link. If you configure it for failover,
you must reload the device for the change to take effect. In this case, you cannot also use the ASA
Firepower module, because it requires the Management interface for management purposes

5585-X—Do not use the Management 0/0 interface, even though it can be used as a data interface. It
does not support the necessary performance for this use.

ASA on the Firepower 9300 and Firepower 4100—We recommend that you use a 10 GB data interface
for the combined failover and state link. You cannot use the management-type interface for the failover
link.

All other models—1 GB interface is large enough for a combined failover and state link.

 

對於用作Failover link的冗餘介面,請參閱以下有關增加冗餘的好處:

When a failover unit boots up, it alternates between the member interfaces to detect an active unit

 

If a failover unit stops receiving keepalive messages from its peer on one of the member interfaces, it
switches to the other member interface

 

The ASA does not support sharing interfaces between user data and the failover link. You also cannot use separate subinterfaces on the same parent for the failover link and for data.

對於用作Failover link的EtherChannel,為防止無序資料包,僅使用EtherChannel中的一個介面。 如果該接口出現故障,則使用EtherChannel中的下一個介面。 在將EtherChannel配置用作Failover link時,無法更改這一方式。

 

連線Failover link:

兩種方式:

-使用交換機(與ASA的Failover link interface在同一網段(廣播域或VLAN)上沒有其他裝置。

-使用乙太網線直接連線兩個裝置。

 

3.2 Stateful Failover link

為了使用Stateful Failover,必須配置一條Stateful failover link(也叫state link)來傳輸連線狀態資訊。思科建議Stateful Failover link的頻寬至少和資料介面的頻寬匹配。

state link可以和Failover link可以共用。共享Failover link是保護介面的最佳方式。 但是,如果您具有大型配置和高流量的網路,則必須考慮state link和Failover link的專用介面。

You can use a dedicated(專用的) data interface (physical, redundant, or EtherChannel) for the state link. For an
EtherChannel used as the state link, to prevent out-of-order packets, only one interface in the EtherChannel
is used. If that interface fails, then the next interface in the EtherChannel is used. (和Failover link一樣)

連線state link的方式也是兩種,交換機和直接連線,這也和Failover link的要求一樣。值得注意的是:為了在使用長距離Failover時獲得最佳效能,state link的延遲應小於10毫秒且不超過250毫秒。 如果延遲超過10毫秒,則由於重新傳輸Failover訊息會導致效能下降。

 

相關推薦

ASA Failover

1、ASA Failover狀態: 配置Failover需要兩個相同的ASA裝置,兩個ASA裝置通過專門的故障轉移鏈路相互連線。 ASA Failover有兩種狀態:Active/Active failover  &  Active/Standby failover. A/

ASA failover配置(A/S)

環境描述   1. 兩條公網出口,分別為移動,聯通   2. 兩臺ASA做主備配置,實現出口故障轉移   3. 內網兩臺核心做堆疊配置(由於模擬器無法實現堆疊,此處使用HSRP) 需求描述   1. 當一條公網鏈路故障後,上網流量切換到備用線路   2. 當一臺ASA故障後,流量切換到備用ASA   3. 當

思科ASA部署Failover (Active/Standby)

思科asa部署failover (active/standby) 思科ASA部署Failover(Active/Standby) Failover Failover是思科防火墻一種高可用技術,能在防火墻發生故障時數秒內轉移配置到另一臺設備,使網絡保持暢通,達到設備級

Cisco ASA firewall Active/Standby failover

cisco asa failoverIn this article, I will briefly explain the active/standby failover configuration on the cisco ASA. The lab is done in GNS3. Physical T

GNS3模擬ASA

gns3 asa1 下載:asa802-k8.bin和Unpack-0.1_win.zip2 解壓Unpack-0.1_win.zip(如解壓到F盤,解壓後會生成unpack目錄)3 復制asa802-k8.bin到F盤unpack下,復制gzip.exe到c盤Windows目錄下4 打開cmd,輸入如下命令

GNS3 建立ASA鏡像

option此ASA5520為新版的,nat命令已為object。在option選項中找到Qemu,在asa中如圖設置,Qemu選項填寫內容附在附件中,內核執行命令也在附件中。如圖填好後點保存,再點最下邊的應用—>ok.Qemu Options: -vnc none -vga none -m 1024

asa的nat配置,所有的情況都在這裏了

interface address outside 接口 流量 NAT 1將內部所有地址段轉化為外部地址段的某一段IPnat (inside) 1 0 0glob (outside) 1 172.16.0.150-172.16.0.160shxlate查看NAT轉換項sh conn 查看不

如何在ASA防火墻上實現ipsec vpn

asa 防火墻 實現 psec vpn 博主QQ:819594300博客地址:http://zpf666.blog.51cto.com/有什麽疑問的朋友可以聯系博主,博主會幫你們解答,謝謝支持!本文章介紹三個部分內容:①ipsec vpn故障排查②如何在ASA防火墻上配置ipsec VPN③防

cisco ASA 551X系列防火墻限速

cisco asa 限速asa 551X 網絡限速對整個網段限速 也可對單個ip 實例中為對網段限速4Masa846-k8.bin 測試okobject-group network rate_limitnetwork-object 192.168.0.0 255.255.255.0access-list ra

ASA好用的命令

acc oot https address context -1 oca onf add ASA 接口CLI配置 1.如何創建VLAN Interface? ASA(config)#interface vlan 1 2.物理接口如何劃分到相應的VLAN ? i

ASA PBR

支持 bit get sid 配置文檔 ip add tar config acc 最低支持版本9.4 http://www.cisco.com/c/en/us/td/docs/security/asa/asa94/release/notes/asarn94.html

ASA ACL

name 是你 tran -i net 我們 訪問控制 group 占用 路由器ACL in和out的對比 in和out是相對的,比如: A(s0)—–(s0)B(s1)——–(s1)C 假設你現在

思科ASA防火墻軟件IOS,附下載鏈接

思科 ios cisco asa802-k8.binasa803-k8.binasa804-k8.binasa805-k8.binasa822-k8.binasa823-k8.binasa824-k8.binasa831-k8.binasa832-k8.binasa841-k8.binasa842

ASA防火墻限速

限速目的:對192.168.57.0段用戶限速30M(即下載速度30/8,上傳同),192.168.57.1和192.168.57.127除外access-list rate-limiting extended deny ip any 192.168.57.1 255.255.255.255access-l

Kafka數據輔助和Failover

ssa over 會有 更新 操作 namo 多個 版本 兩個 數據輔助與Failover CAP理論(它具有一致性、可用性、分區容忍性) CAP理論:分布式系統中,一致性、可用性、分區容忍性最多只可同時滿足兩個。一般分區容忍性都要求有保障,因此很多時候在可用

防火墻(ASA)的基本配置與遠程管理

ssh asa asdm 楊書凡 狀態化防火墻 在目前大多數安全解決方案中,防火墻的實施是最為重要的需求,它是每個網絡基礎設施必要且不可分割的組成部分。這篇博客主要介紹防火墻安全算法的原理與基本配置以及遠程管理防火墻的幾種方式硬件與軟件防火墻1.軟件防火墻 軟件防火墻單獨使用軟

FAILOVER詳細步驟

失敗 還原 nag spec 數據庫 flush hover data last FAILOVER詳細步驟 1.Flush主庫任何未傳輸的redo到目標備庫 如果primary可以mount,則可以flush任何主庫的未傳輸redo到備庫,如果操作成功返回,則可以保證fai

Switchover and Failover

硬件 arch 結束 alt 拷貝 rim 存儲 模式 進行 SWITCHOVER Switchover是有計劃的將primary切換為standby,standby切換為primary.在主庫結束生產後,備庫應用完所有主庫archivelog或者redo log後進行切換

ASA的Twice-NAT實現anyconnectVPN地址池內網無路由的PAT

asa twice-nat 一.說明 anyconnect VPN的地址池地址,正常情況下,需要內網能路由,路由指向為ASA的inside接口地址,但是如果內網不能添加路由的情況下,客戶端撥通VPN之後,能夠順利訪問內網呢?二.思路 ASA的inside接口地址為內網地址,內網可以路由,因

在防火墻(ASA)上配置四種類型的NAT

豁免 nat 楊書凡 前面已經介紹了網絡地址轉換(NAT)的原理和基於路由器的配置,ASA上的NAT配置相對於路由器來說要復制一些,ASA上的NAT有動態NAT、動態PAT、靜態NAT、靜態PAT。下面的鏈接是我以前寫的NAT原理,在路由器上配置NAT的命令http://yangshufa