分享是一种生活态度,求知,求真,分享工作,分享生活!

cisco ASA防火墙failover

Cisco iqianyue 4904次浏览 0个评论 扫描二维码

为是了预防设备失效导致网络中断的一种失效风险规避害的有效方案,其主要思路就是用双设备设定为主从,一旦主失效,网络就转向从设备。

failover

 配置:

在主用Cisco ASA上配置HA

步骤 1: 在主用Cisco ASA上启用故障切换,然后将其指定为主用设备。

failover

failover lan unit primary

步骤 2: 配置故障切换接口。

failover lan interface failover GigabitEthernet0/2

failover replication http

failover key [key]

failover link failover GigabitEthernet0/2

步骤 3: 为了在发生设备或链路故障时,加快故障切换速度,您可以调整故障切

换计时器。在默认设置下,根据故障的具体情况,Cisco ASA可以在2至25秒内

切换到备用设备。根据故障情况,通过调整故障切换轮询时间可将切换时间降低

到0.5到5秒。

在中低负载的Cisco ASA上,可在不影响性能的情况下调整轮询时间。

failover polltime unit msec 200 holdtime msec 800

failover polltime interface msec 500 holdtime 5

步骤 4: 配置故障切换接口IP地址。

failover interface ip failover 10.8.53.130 255.255.255.252

standby 10.8.53.129

步骤 5: 启用故障切换接口。

interface GigabitEthernet0/2

no shutdown

步骤 6: 配置故障切换以监视外部接口。

monitor-interface outside   //当outside接口down后,会自动切换

步骤 7: 配置故障切换以监视内部接口。

monitor-interface SRVLAN154

monitor-interface SRVLAN155

 

在备用Cisco ASA上配置高可用性

步骤 1: 在备用Cisco ASA上启用故障切换,并将其指定为备用设备。

failover

failover lan unit secondary

步骤 2: 配置故障切换接口。

failover lan interface failover GigabitEthernet0/2

failover replication http

failover key [key]

failover link failover GigabitEthernet0/2

步骤 3: 配置故障切换接口IP地址。

failover interface ip failover 10.8.53.130 255.255.255.252

standby 10.8.53.129

步骤 4: 启用故障切换接口。

interface GigabitEthernet0/2

no shutdown

该步骤可以使Cisco ASA设备从主用设备向备用设备同步其配置。

步骤 5: 验证Cisco ASA设备间的备用同步。在主用设备的命令行接口上,执行

show failover state命令。

SR-ASA5500X# show failover state

State Last Failure Reason Date/

Time

This host – Primary

Active None

Other host – Secondary

Standby Ready None

====Configuration State===

Sync Done

====Communication State===

Mac set

步骤 6: 在主用Cisco ASA上保存您的Cisco ASA防火墙配置。这将可以在主

用和备用ASA防火墙上保存配置。

copy running-config startup-config

failover分为两种:

1、active/standby   只有一边走流量;

2、active /active     双active,两边都走流量;通过虚拟firewall来实现;

又分为:

1、hardware failover:当active down了,以前建立的链接如:已建立的tcp连接,在standby接管active后需要重新建立链接;

2、statefull failover:当active down了,以前建立的链接如:已建立的tcp连接,在standby接管active后不需要重新建立链接;

Type of Failover link:

1、cable based     专用的串口线,很智能,但距离短。只需在Active上陪,自动将配置同步到standy

2、LAN based     交叉的网线,距离长;firewall之间用两根线,一根用于transmit failover,另一根用于transmit statefull information;这样就可以实现状态化的切换,以前建立的连接在standby接管active后不需要重新建立连接;

ASA仅支持LAN-Based;pix支持LAN-Based和cable-Based,所以pix需要激活用哪个based:failover lan enable ,ASA不用

前提条件:

要实现failover,两台设备需要满足以下的一些条件:

1.相同的设备型号和硬件配置:设备模块、接口类型,接口数量,CPU,内存,flash闪存等

2.相同的软件版本号,此处即指ASA的IOS版本,IOS版本需要高于7.0

3.相同的FW模式,必须同为路由模式或者透明模式

4.相同的特性集,如支持的加密同为DES或者3DES

5.合适的licensing,两台设备的license符合基本要求,能支持相同的failover

关于配置同步

# 当standby设备完成初始化启动时,会从active设备同步配置;

# 配置同步只改变running-config,而不会把配置存到Flash memory中;

# 在Active设备上输入的指令会立刻被同步到Standby设备上

# 在active设备上输入write memory命令时,standby设备也会将配置写入Flash memory;

# 在Standby设备上输入的指令不会被同步到Active设备;

# 如果两设备的startup-config不同,在设备启动后,Secondary设备会根据Primary设备的running-config同步自己的running-config;

# 在active设备上输入write standby命令时,standby设备会从active设备同步配置;

注意事项:

  • 不抢占

 


iqianyue , 版权所有丨如未注明 , 均为原创,转载请注明iqianyue
喜欢 (4)
[]
分享 (0)
发表我的评论
取消评论

表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址