ASA Failover模式

根据运行模式来划分

The two units in a failover configuration must have the same hardware configuration. They must be the same model, have the same number and types of interfaces, and the same amount of RAM.

 

1.Active/Active Failover

Active/active 有什么优势?

1.2个units都可以承载流量,可以实现负载分担

2.将context划分成成逻辑的 failover groups,最多创建2个group, admin和unassigned contexts 都在group1

3.Active/active只能在multiple context mode下使用

http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91336-pix-activeactive-config.html#act1

2.Active/Standby Failover

 

根据状态划分 Regular and Stateful Failover

1.Regular Failover

session会断开连接

2.Stateful Failover

session不会断开连接

 

根据Failover连接方式划分

 

1.Cable-Based Active/Active Failover

Specify the interface to be used as Stateful Failover link:

hostname(config)#failover link if_name phy_if

In this example, the Ethernet2 interface is used to exchange the stateful failover link state information.

failover link stateful Ethernet2

2.LAN-Based Active/Active Failover

Enable LAN-based failover:

hostname(config)#failover lan enable

Designate the unit as the primary unit:

hostname(config)#failover lan unit primary

Specify the failover link:

PIX1(config)#failover lan interface LANFailover ethernet3

时间: 2024-11-10 11:37:42

ASA Failover模式的相关文章

ASA failover

Active-Standby 1.作用:提供设备冗余 2.物理概念:primary 和 secondary ,需要命令敲得,角色不会切换, 3.虚拟概念:active和standby ,需要选举,角色可以切换. 4.LAN-FO : 专门一个接口做心跳线,同步配置信息,切换的时候交换IP和MAC,健康状况等. 5.选举方式: 当一个ASA启动的时候,它就开始了选举得进程. ○ 如果它检测到了一个正在协商的设备处于FO接口的另一端,此时primary设备会成为Active, Secondary设备

ASA failover应用

failover的条件: 1.硬件型号必须相同 2.系统版本必须一致 3.模式必须一致 4.相同的许可和许可的数量 步骤: step 1:配置failover interface,确保状态 up LZ-CNC-UTM(config)# failover lan interface Beat g2 step 2:配置设备为Active角色 LZ-CNC-UTM(config)# failover lan unit primary step 3:配置failover link LZ-CNC-UTM(

ASA多模式防火墙_06

多模式防火墙 部署建议 1.一个ASA虚拟多个防火墙Security context 2.子墙能共享物理接口(也可分子接口给不同防火墙) 3.每个子墙都有配置文件,ASA还有个系统配置文件(关于各个子墙分配) 4.防火墙模式设置会影响整个Cisco 防火墙,不能一部分路由,一部分透明 5.先改变防火墙模式(如改为透明模式),再创建子墙 6.透明模式的防火墙不能够使用共享接口 7.当使用共享接口时,要为每个子墙的共享接口指定不同的MAC地址 8.注意资源管理,防止一个子墙耗尽资源 局限性 使用子墙

ASA Failover业务不中断升级IOS

之前给客户割接,客户额外要求升级两台ASA5520防火墙的IOS.IOS版本842要升级到847. 当然客户什么都不懂,需要和大家说明的是,ASA升级IOS注意点,严重注意: 检查防火墙的内存--5520跑8.3以上版本内存要2G,其他型号内存需要都不一样 是否做了Failover--做了HA后升级IOS要保证不中断业务 明确升级到的版本是多少--有升级顺序讲究,842先升级到845或846再升级到847,其他IOS升级顺序也不一样 知道这些注意点,接下来就开始升级IOS. 1.先在Active

防火墙(ASA)高级配置之URL过滤、日志管理、透明模式

对于防火墙产品来说,最重要的一个功能就是对事件进行日志记录.本篇博客将介绍如何对ASA进行日志管理与分析.ASA透明模式的原理与配置.利用ASA防火墙的IOS特性实施URL过滤. 一.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1)创建class-map(类映射),识别传输流量. (2)创建policy-map(策略映射),关联class-map. (3)应用policy-map到接口上. 案例:

24-思科防火墙:ASA透明防火墙实验

一.实验拓扑:二.实验要求:1.show mode:单模式:show firewall:路由模式-->firewall transparent:ASA清除所有配置:切换透明模式是不需要重启的:透明模式的ASA是二层设备,所以这里的接口不能在配IP地址了,按Tab键也没有效果的:2.要配置一个管理IP地址,其实所谓的管理IP地址就是桥的主IP:配置:interface bvi 1,并配置IP地址:100.1.1.100,组是可以配IP地址的:3.因为有2个组,所以网管IP必须是有2个,增加B2组管

ASA高级配置

防范IP分片.gong.击1)IP分片的原理数据字段的长度最大为1500字节,这个数值被称为最大传送单元(Maximun Transmission Unit MTU).不同的网络有不同的MTU值,如以太网的MTU值是1500字节,PPP链路的MTU值是296字节.当IP数据报封装成帧时,必须符合帧格式的规定,如果IP数据报的总长度不大于MTU值,就可以直接封装成一个帧,如果IP数据报的总长度大于MTU值,就必须分片,然后将每一个分片封装成一个帧.再分片.每一个分片都有它自己的IP首部,可以独立地

在Cisco的ASA防火墙上实现IPSec虚拟专用网

博文大纲: 一.网络环境需求 二.配置前准备 三.配置虚拟专用网 四.总结 前言: 之前写过一篇博文:Cisco路由器之IPSec 虚拟专用网,那是在公司网关使用的是Cisco路由器的情况下,来搭建虚拟专用网的,那么公司网关若是Cisco的ASA防火墙呢?就让这篇博文来带你配置一下. 注:虚拟专用网:(Virtual Private Network),请看英文的首字母,就知道是什么咯,由于它是敏/感词汇,所以文中全部使用虚拟专用网来代替 关于其中的知识点及相关概念,都在文章开头的那篇博文链接中介

Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网

博文目录一.IPSec 虚拟专用网故障排查二.配置防火墙和路由器实现IPSec 虚拟专用网三.总结 关于IPSec 虚拟专用网工作原理及概念,前面写过一篇博文:Cisco路由器IPSec 虚拟专用网原理与详细配置,博客里都有详细介绍,前面是在公司网关使用的是Cisco路由器的情况下来搭建虚拟专用网的,今天来配置一下在ASA防火墙上实现IPSec 虚拟专用网. 由于"Virtual Private Network"(请看首字母,就知道是什么了)是敏\感词,所以在博文中使用它的中文名字&q