1. 程式人生 > >ASA Failover

ASA Failover

1、ASA Failover狀態:

配置Failover需要兩個相同的ASA裝置,兩個ASA裝置通過專門的故障轉移鏈路相互連線。

ASA Failover有兩種狀態Active/Active failover  &  Active/Standby failover.

A/A:該狀態的Failover兩個ASA裝置都可以轉發流量,但是隻有multiple context模式可以使用。

該模式的原理是劃分security context到兩個Failover groups,一個組在Primary ASA上被指定為Active,另一個組在Secondary ASA上被指定為Active(一個Failover group是一個或多個secondary context的邏輯組)。但Failover發生的時候,是在Failover group級別發生的。

A/S:該狀態的Failover只有Active角色可以轉發流量,而Standby處於不活躍的狀態,監控Active的狀態,一旦Failover發生,Active角色將由Standby角色接管,該狀態single context和multiple context都可以使用。

 

兩種模式的Failover都支援狀態化和非狀態化Failover。

 

2、Failover系統需求

硬體:

-相同模型model(PID)

-相同數量型別的介面對於Firepower 4100/9300機箱,在啟用Failover之前,所有介面必須在FXOS中進行相同的預配置。 如果在啟用故障轉移後更改介面,請在Standby裝置上的FXOS中更改介面,然後在Active裝置上進行相同的更改。 如果刪除FXOS中的介面(例如,如果移除網路模組,刪除EtherChannel或將介面重新分配給EtherChannel),則ASA配置會保留原始命令,以便您可以進行任何必要的調整; 從配置中刪除介面會產生比較大的影響。 你可以在ASA OS中手動刪除舊介面配置。

-安裝相同的模組

-安裝相同大小的RAM如果在Failover配置中使用具有不同快閃記憶體大小的裝置,請確保具有較小快閃記憶體的裝置有足夠的空間容納軟體映像檔案和配置檔案。 如果沒有,則從具有較大快閃記憶體的裝置到具有較小快閃記憶體的裝置的配置同步將失敗。

 

軟體:

-相同的防火牆模式(路由模式/透明模式)

-相同的context模式(singe/multiple)

-相同的軟體版本(包括主版本和小版本如version x.y)您可以在升級過程中臨時使用不同版本的軟體; 例如,您可以將一個單元從版本8.3(1)升級到版本8.3(2),並使故障轉移保持活動狀態。思科建議將兩個裝置升級到相同版本,以確保長期相容性。

-有相同的anyconnect映象【如果Failover pair在不中斷的升級過程中發現映象不匹配,然後clientless SSL VPN連線在升級過程最後的重啟步驟中終止。資料庫中顯示孤立會話,並且IP地址池顯示分配給客戶端的地址為“in use”】

 

license需求:

Failover配置中的兩個裝置不需要具有相同的license,license會組合在一起以生成Failover cluster license。

 

3、Failover Link和State Failover Link

3.1 Failover Link:

Failover pair中的兩個裝置不斷通過Failover link進行通訊,以確定每個裝置的執行狀態。

Failover link中的資料主要包括:active&standby狀態、hello資訊(可以認為是keepalive)、網路連結狀態、MAC地址交換、配置的複製和同步。

 

什麼介面可以作為Failover介面呢?

You can use any unused data interface (physical, subinterface, redundant, or EtherChannel) as the failover link

注意:無法指定當前配置名稱的介面。Failover link介面不能被配置為正常的網路介面,它只承載Failover資訊互動。在大多數情況下,不能使用management介面給Failover使用(除非有如下的描述)。

5506-X through 5555-X—You cannot use the Management interface as the failover link; you must use
a data interface. The only exception is for the 5506H-X, where you can use the management interface
as the failover link.

 

5506H-X—You can use the Management 1/1 interface as the failover link. If you configure it for failover,
you must reload the device for the change to take effect. In this case, you cannot also use the ASA
Firepower module, because it requires the Management interface for management purposes

5585-X—Do not use the Management 0/0 interface, even though it can be used as a data interface. It
does not support the necessary performance for this use.

ASA on the Firepower 9300 and Firepower 4100—We recommend that you use a 10 GB data interface
for the combined failover and state link. You cannot use the management-type interface for the failover
link.

All other models—1 GB interface is large enough for a combined failover and state link.

 

對於用作Failover link的冗餘介面,請參閱以下有關增加冗餘的好處:

When a failover unit boots up, it alternates between the member interfaces to detect an active unit

 

If a failover unit stops receiving keepalive messages from its peer on one of the member interfaces, it
switches to the other member interface

 

The ASA does not support sharing interfaces between user data and the failover link. You also cannot use separate subinterfaces on the same parent for the failover link and for data.

對於用作Failover link的EtherChannel,為防止無序資料包,僅使用EtherChannel中的一個介面。 如果該接口出現故障,則使用EtherChannel中的下一個介面。 在將EtherChannel配置用作Failover link時,無法更改這一方式。

 

連線Failover link:

兩種方式:

-使用交換機(與ASA的Failover link interface在同一網段(廣播域或VLAN)上沒有其他裝置。

-使用乙太網線直接連線兩個裝置。

 

3.2 Stateful Failover link

為了使用Stateful Failover,必須配置一條Stateful failover link(也叫state link)來傳輸連線狀態資訊。思科建議Stateful Failover link的頻寬至少和資料介面的頻寬匹配。

state link可以和Failover link可以共用。共享Failover link是保護介面的最佳方式。 但是,如果您具有大型配置和高流量的網路,則必須考慮state link和Failover link的專用介面。

You can use a dedicated(專用的) data interface (physical, redundant, or EtherChannel) for the state link. For an
EtherChannel used as the state link, to prevent out-of-order packets, only one interface in the EtherChannel
is used. If that interface fails, then the next interface in the EtherChannel is used. (和Failover link一樣)

連線state link的方式也是兩種,交換機和直接連線,這也和Failover link的要求一樣。值得注意的是:為了在使用長距離Failover時獲得最佳效能,state link的延遲應小於10毫秒且不超過250毫秒。 如果延遲超過10毫秒,則由於重新傳輸Failover訊息會導致效能下降。