Cisco防火墙HA实例

实验环境:2台ASA5508防火墙,组建HA使得一台作为主防火墙Active,另外一台平时作为standby作为备用防火墙。防火墙有3个端口,

gi 1/1 端口为outside出口   gi1/2 端口为inside进口 gi 1/3 端口为两台防火墙互连接口

实验目的:使得两台防火墙互为主备,平时只有一台工作,另一台作为热备在线。等主防火墙故障后,备防火墙直接切换为主防火墙继续提供服务。

实验网络拓扑图:


该实验操作也支持其他可以做热备的设备配置,做热备的两台设备必须是同型号同版本的,以下查看是否可以做热备的配置:

ASA5508-Active# show version


首先配置第一台防火墙,及主防火墙Active设备:

ASA5508-Active# configure ter

ASA5508-Active(config)#interface gi 1/1

ASA5508-Active(config-if)#nameif outside

ASA5508-Active(config-if)#security-level 0

ASA5508-Active(config-if)# ip address 172.16.1.11 255.255.255.0 standby 172.16.1.12   //standby为备用防火墙设备接口1的ip地址

ASA5508-Active(config-if)#exit

ASA5508-Active(config)#interface gi 1/2

ASA5508-Active(config-if)#nameif inside

ASA5508-Active(config-if)#security-level 100

ASA5508-Active(config-if)#ip address 192.168.91.11 255.255.255.128 standby 192.168.91.12 //standby为备用防火墙设备接口2的ip地址

ASA5508-Active(config-if)#exit

ASA5508-Active(config)#failover lan unit primary  //指定该设备的角色为主防火墙

ASA5508-Active(config)#failover lan interface failover gi1/3  //指定3号接口为主备设备互联接口(如果主备设备之间有多个端口连接,都需指定),

本实验主备设备之间只有一个相连接口,所以只需指定一个接口。

ASA5508-Active(config)#failover link fover gi1/3   //指定状态信息同步接口(即主备之间的配置信息同步接口),本实验因为主备之间只有一个接口相连

故本实验可以不用指定。

ASA5508-Active(config)#failover interface ip failover 172.17.1.1 255.255.255.0 standby 172.17.1.2  //该IP地址是设置在接口3互联的端口上,可以

随意设置成自己定义的IP

ASA5508-Active(config)#failover lan key cisco   //配置failover认证端口的密钥,cisco可以自定义,即设置主备设备之间接口3互相通讯的密钥为cisco.

ASA5508-Active(config)#failover   //主防火墙的所有配置都设置OK后,输入该命令,即启用热备模式,注意,此命令一定要先在主设备上输入,否则如果先在

备用设备输入后,如果互联线连接了,会导致把备用设备的配置覆盖了主设备的配置。

ASA5508-Active# show inter  //此时输入show inter 会显示接口3 位failover接口。

接下来配置备用设备standby设备:


  ASA5508-Standby(config)#interface gi 1/3

ASA5508-Standby(config-if)#no shutdown

ASA5508-Standby(config-if)#exit

ASA5508-Standby(config)#failover lan unit secondary  //设置该设备为备用状态

ASA5508-Standby(config)#failover lan interface failover gi1/3  //指定3号接口为主备设备互联接口(如果主备设备之间有多个端口连接,都需指定),

本实验主备设备之间只有一个相连接口,所以只需指定一个接口。

ASA5508-Standby(config)#failover link fover gi1/3   //指定状态信息同步接口(即主备之间的配置信息同步接口),本实验因为主备之间只有一个接口相连

故本实验可以不用指定。

ASA5508-Standby(config)#failover interface ip failover 172.17.1.1 255.255.255.0 standby 172.17.1.2  //该IP地址是设置在接口3互联的端口上,可以

随意设置成自己定义的IP

ASA5508-Active(config)#failover lan key cisco   //配置failover认证端口的密钥,cisco可以自定义,即设置主备设备之间接口3互相通讯的密钥为cisco.

ASA5508-Active(config)#failover   //即启用热备模式,注意,此命令一定要先在主设备上输入,否则如果先在备用设备输入后,如果互联线连接了,

会导致把备用设备的配置覆盖了主设备的配置。

至此两台设备同步信息后,配置只能在Active主设备上进行,备用设备hostname会喝主设备相同。可以通过show failover 查看,或者使用命令:

ASA5508-Active(config)#prompt hostname priority state  显示该设备的状态state

ASA5508-Active/pri/act(config)#    //红色字体表示该设备为主设备的状态为activer活动状态,即当前工作的是该主设备。

登录备用设备查看

ASA5508-Standby(config)#prompt hostname priority state 显示该设备的状态state

ASA5508-Standby/sec/stby(config)#  //红色字体表示该设备为备用设备的状态为stby备用状态,即当前工作的是该主设备

其他配置信息:

比如登录到主设备上输入以下命令:

ASA5508-Active/pri/act(config)#no failover active  //手动把主设备切换为备用状态 (默认如果主设备有问题会自动切换到备用设备工作状态)

ASA5508-Standby/sec/stby(config)#failover active   //手动备用设备切换为active状态

原文地址:http://blog.51cto.com/woyaoxuelinux/2145191

时间: 2024-11-05 19:34:01

Cisco防火墙HA实例的相关文章

CentOS 配置防火墙操作实例(启、停、开、闭端口)

CentOS 配置防火墙操作实例(启.停.开.闭端口): 注:防火墙的基本操作命令: 查询防火墙状态: [root@localhost ~]# service   iptables status<回车>   停止防火墙: [root@localhost ~]# service   iptables stop <回车>   启动防火墙: [root@localhost ~]# service   iptables start <回车>   重启防火墙: [root@loc

CentOS 配置防火墙操作实例(启、停、开、闭port)

CentOS 配置防火墙操作实例(启.停.开.闭port): 注:防火墙的基本操作命令: 查询防火墙状态: [[email protected] ~]# service   iptables status<回车>   停止防火墙: [[email protected] ~]# service   iptables stop <回车>   启动防火墙: [[email protected] ~]# service   iptables start <回车>   重新启动防

Cisco防火墙ASA-EZVPN配置

       Cisco防火墙ASA-EZVPN配置    Easy VPN也叫做EZVPN,是Cisco为远程用户.分支办公室提供的一种远程访问VPN解决方案,EzVPN提供了中心的VPN管理,动态的策略分发,降低了远程访问VPN部署的复杂程度,并且增加了扩展和灵活性.  Easy VPN特点介绍: 1. Easy VPN是Cisco私有技术,只能运用在Cisco设备.2. Easy VPN适用于中心站点固定地址,客户端动态地址的环境,并且客户端身后网络环境需要尽可能简单,例如:小超市,服装专

Juniper SRX防火墙HA配置

一.实验环境介绍1)vsrx 12.1X47-D20.7 二.实验拓扑 vSRXA1与vSRXA2之间建议Chassis Clusterge-0/0/0为带外管理接口(系列默认,不可改)ge-0/0/1为control-link(系统配置,不可改)ge-0/0/4为data-link(手工配置,可改)control-link与data-link采用背靠背的连接方式. 在低端的SRX防火墙带外管理接口.控制接口.数据接口都是业务接口.在高端的SRX防火墙管理接口.控制接口即为专用接口,只有数据接口

cisco 防火墙 5505 SSH 登录方式配置

ciscoasa(config)# crypto key generate rsa modulus 1024 //指定rsa系数的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024. WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.警告:你有一个RSA密钥对已定义的命名<默认的RSA密钥>.Do you really want to replace them? [yes/

cisco防火墙点对点VPN配置样例

需求:两端防火墙同为cisco5500系列,实现点点VPN连接,并实现nat与vpn共存 配置实例: tunnel-group 210.1.1.22 type ipsec-l2ltunnel-group 210.1.1.22 ipsec-attributes ikev1 pre-shared-key ***** (*为对方共享秘钥) crypto ipsec ikev1 transform-set VPN-B esp-3des esp-sha-hmac crypto map IPSEC_MP 1

CentOS 配置防火墙操作实例

注:防火墙的基本操作命令: 查询防火墙状态: [[email protected] ~]# service   iptables status<回车>   停止防火墙: [[email protected] ~]# service   iptables stop <回车>   启动防火墙: [[email protected] ~]# service   iptables start <回车>   重启防火墙: [[email protected] ~]# servic

(四)Cisco dhcp snooping实例2-多交换机环境(DHCP服务器和DHCP客户端位于不同VLAN)

试验拓扑 环境:dhcp server和客户端处于不同网段的情况 dhcp server的配置 no ip routing ip dhcp pool vlan27 network 172.28.27.0 255.255.255.0 default-router 172.28.27.254 dns-server 172.28.28.15 172.28.28.16 ip default-gateway 172.28.28.254 L3-switch的配置 interface Vlan27 ip dh

(三)Cisco dhcp snooping实例1-单交换机(DHCP服务器和DHCP客户端位于同一VLAN)

环境:cisco dhcp server和客户端都属于vlan27,dhcp server 接在交换机G0/1,客户端接在交换机的G0/2 cisco dhcp server相关配置 ip dhcp pool vlan27 network 192.168.27.0 255.255.255.0 default-router 192.168.27.1 dns-server 192.168.27.1 interface Vlan27 ip dhcp relay information trusted