思科ASA部署Failover (Active/Standby)


          思科ASA部署Failover

Active/Standby        

Failover 

Failover是思科防火墙一种高可用技术,能在防火墙发生故障时数秒内转移配置到另一台设备,使网络保持畅通,达到设备级冗余的目的。

工作原理

两台设备型号一样(型号、内存、接口等),通过一条链路连接到对端(这个连接也叫心跳线)。该技术用到的两台设备分为Active设备(Primary)和Stanby设备(Secondary),这种冗余也可以叫AS模式。活跃机器处于在线工作状态,备用处于待机状态实时监控活跃设备是否正常。当主用设备发生故障后(接口down,设备断电),备用设备可及时替换,替换为Avtive的角色。Failover启用后,Primary设备会同步配置文件文件到Secondary设备,这个时候也不能在Scondary添加配置,配置必须在Active进行。远程管理Failover设备时,登录的始终是active设备这一点一定要注意,可以通过命令(showfailover)查看当时所登录的物理机器。目前启用failover技术不是所有状态化信息都可以同步,比如NAT转换需要再次建立。

拓扑如下:


实施配置:

实现failover,两台设备需要满足以下的一些条件:

1.相同的设备型号和硬件配置:设备模块、接口类型,接口数量,CPU,内存,flash闪存等

2.相同的软件版本号,此处即指ASA的IOS版本,IOS版本需要高于7.0

3.相同的FW模式,必须同为路由模式或者透明模式

4.相同的特性集,如支持的加密同为DES或者3DES

5.合适的licensing,两台设备的license符合基本要求,能支持相同的failover

Master-FW 设备配置:

interfaceManagement0/0

management-only

shutdown

nameifmanagement

security-level100

ip address192.168.1.1 255.255.255.0

interfaceGigabitEthernet0/0

nameifoutside

security-level0

ip address209.165.201.2 255.255.255.0 standby 209.165.201.3

interface GigabitEthernet0/1

nameifinside

security-level100

ip address192.168.2.1 255.255.255.0 standby 192.168.2.2

interfaceGigabitEthernet0/2

descriptionSTATE Failover Interface

interfaceGigabitEthernet0/3

descriptionLAN Failover Interface

failover   //启动failover功能

failover lan unitprimary  //定义本设备角色为主

failover laninterface Lan GigabitEthernet0/3  //定义failover通讯接口

failover polltimeunit msec 200 holdtime 1     //每200毫秒发送一个存活消息,持续1秒

failover polltimeinterface 3 holdtime 15      //每3秒发送一个hello包,持续15秒

failover key *****                          //定义共享密钥相当于认证

failover linkSTATE GigabitEthernet0/2   //定义failover通讯接口

failover interfaceip Lan 172.16.1.1 255.255.255.0 standby 172.16.1.2 //定义主备通讯口ip

failover interfaceip STATE 172.16.2.1 255.255.255.0 standby 172.16.2.2 //定义主备通讯口ip

Backup-FW设备配置:

failover   //启动failover功能

failover lan unitsecondary  //定义本设备角色为备

failover laninterface Lan GigabitEthernet0/3  //定义failover通讯接口

failover polltimeunit msec 200 holdtime 1     //每200毫秒发送一个存活消息,持续1秒

failover polltimeinterface 3 holdtime 15      //每3秒发送一个hello包,持续15秒

failover key *****                          //定义共享密钥相当于认证

failover linkSTATE GigabitEthernet0/2   //定义failover通讯接口

failover interfaceip Lan 172.16.1.1 255.255.255.0 standby 172.16.1.2//定义主备通讯口ip

failover interfaceip STATE 172.16.2.1 255.255.255.0 standby 172.16.2.2 //定义主备通讯口ip

注意:主备配置完成后,重启备防火墙,主备配置进行同步(只需配置主机,数据将备拷贝至备机)

failover触发:

l  关于防火墙的检测对象(检测失败进行主备切换)查找资料思考良久,后来知晓,思科设备检测对象与山石、juniper不同,不需要人工配置干预,设备自动检测:

l  设备发生硬件失败或电源故障

l  设备出现软件失败

l  太多monitored接口fail //可通过命令修改(failover interface-policy + 端口数/故障端口百分比)

l  no failover active 命令在active设备上强制执行或在standby设备输入failoveractive

注意:failover触发无法取消某个接口(如:Mgt口),且不能在设备的上下联接口执行shutdown命令模拟故障(由于执行的命令会被同步至备设备,导致无法正常切换),只能通过拔插网线或硬件故障触发。

常用命令:

showfailover state  //查看设备failover工作状态

showmonitor-interface  //查看接口检测状态

时间: 2024-10-17 04:08:45

思科ASA部署Failover (Active/Standby)的相关文章

Cisco ASA firewall Active/Standby failover

In this article, I will briefly explain the active/standby failover configuration on the cisco ASA. The lab is done in GNS3. Physical Topology: configuration:ciscoasa/act/pri(config)# sh run failoverfailoverfailover lan unit primaryfailover lan inter

Scenario 1 – Simple vNet with Active/Standby Uplinks – Ethernet a

    Scenario 1 – Simple vNet with Active/Standby Uplinks – Ethernet and FCoE – Windows 2008 R2         场景1:简单vNet使用Active/Standby Uplinks-Ethernet和FCoE-Windows2008R2 概述: 这个简单的配置场景使用VC vNet和FCoE来满足SAN需求.此简单设计没有使用VLAN Mapping,vNet是以最简单的方式连接Virtual Conn

两台Cisco A5510 防火墙配置为Active/Standby模式的双机互备

二.实现方式: 两台A5510通过接口Ethernet 0/3实现互联. 配置如下: A5510-2(Primary Host):hostname/context hostname(config)# interface Ethernet0/0 hostname(config-if)#nameif inside security-level 100 hostname(config-if)#ip address 192.168.10.244 255.255.255.248 standby 192.1

测定网络流量的模式和Virtual Connect 的网络设计(Active/Standby vs Active/Active)

      确定网络类型的模式和Virtual Connect 网络设计的类型              (Active/Standby vs Active/Active) 当面对选择使用何种Virtual Connect 网络设计类型(Active/Active (A/A)vs.Active/Standby (A/S) uplinks)时,需要考虑Enclosure内部需要支持网络流量的类型,例如,是否Enclosure内部有更多的Server 到Server的通信流量,是否Enclosure

TimesTen 数据库复制学习:7. 管理Active Standby Pair(无缓存组)

Active Standby Pair是TimesTen复制的一种固定模式,就是1个active到1个standby,再到0个或127个subscriber,如下图: 配置 Active Standby Pair (不带缓存组) 大致步骤如下: 1. 创建数据库 2. 使用CREATE ACTIVE STANDBY PAIR创建复制 3. 调用Call ttRepStateSet('ACTIVE'),将active数据库的角色设为ACTIVE 4. 调用Call ttRepStart, 启动复制

思科ASA基础理论与配置

思科的ASA防火墙是一个状态化防火墙,维护一个关于用户信息的连接表(conn),默认情况下ASA对TCP和UDP的流量提供状态化连接,对ICMP协议是非状态化的. 思科ASA的报文穿越过程如下: 一个新来的TCP报文视图建立连接 1.ASA检查ACL是否允许连接 2.ASA执行路由查询如果有路由则ASA创建一个conn条目 3.ASA在检测引擎中检测预定义的一套规则,根据检测引擎检测结果确定是否转发 4.ASA接收到返回报文进行conn表比对是否有条目有就允许没有就丢弃 如果从安全级别低的端口要

Cisco ASA 部署日志服务器

如不明白或有疑问请点击此处:Cisco ASA 部署日志服务器:理论知识+实验教程

TimesTen 数据库复制学习:8. 管理Active Standby Pair(带缓存组)

带缓存组的Active standby pairs(ASP) 在不带缓存组的ASP中,复制发生在TimesTen的表间:而在带缓存组的ASP中,复制发生在cache table之间.带缓冲组的复制仅支持只读和AWT缓存组.对于只读缓存组,复制的意义在于保持状态的连续,而对于AWT,复制可以保证数据不丢失. 设置带只读缓存组的ASP(例) 假设active master为cachedb1,standby master为cachedb2 在active上创建dynamic readonly缓存组 c

TimesTen 数据库复制学习:9. 更改Active Standby Pair

在Active Standby Pair中复制DDL语句 在以下的例子中,active master为cachedb2, standby master为cachedb1 在Active Standby Pair复制数据库对象 DDLReplicationLevel 连接属性可以控制复制对象的行为. DDLReplicationLevel = 1:不复制表,索引和同义词的create 和 drop,只复制复制表的添加和删除列操作 DDLReplicationLevel = 2: 缺省,复制表,索引