Active-Standby
1、作用:提供设备冗余
2、物理概念:primary 和 secondary ,需要命令敲得,角色不会切换,
3、虚拟概念:active和standby ,需要选举,角色可以切换。
4、LAN-FO : 专门一个接口做心跳线,同步配置信息,切换的时候交换IP和MAC,健康状况等。
5、选举方式:
当一个ASA启动的时候,它就开始了选举得进程。
○ 如果它检测到了一个正在协商的设备处于FO接口的另一端,此时primary设备会成为Active, Secondary设备成为Standby。
○ 如果它检测到了一个Active设备,它就会转换成Standby状态,即使它本身角色是primary。
○ 如果它没检测到设备,他将变为Active状态。
- 当它成为Active设备之后,检测到了另一个active设备(可能因为之前fo接口的问题,检测出现问题),那么这两个Actiive设备将重新协商角色
注: 上面得出的这些结论,都是基于两台设备均为健康状态。如果不是,那么两个设备中处于健康状态的那个将成为Active。
6、HA切换过程:
正常的FO切换事件
○ 如果Active设备出现故障,那么处于standby的设备将会成为Active
当切换发生时
○Standby设备在所有接口上继承原来Active设备的属性(IP和MAC地址)
○ 例外:FO以太接口的地址保持不变。
7、 Failover的管理
○ 只需要在Active设备上进行配置
○ active设备上所有配置的变化,都被自动复制到standby设备
○ standby设备可以登陆,做基本的监控和管理
8、 部署Failover的必要条件
○ 硬件需求一样,接口模块都要一样
○ 软件需求一样,工作模式,版本,子版本必需相同,维护版本可以不一样,但是会报错,为以后不间断升级用。
○ 授权需求,不必一模一样,只要有Fo授权即可
9、 无状态化的FO(默认)
仅仅提供硬件冗余
当切换时,所有连接会话都会断,
用户必须重新建立连接
状态化的FO(需要敲命令)
两个设备之间需要状态化链路(是FO外的另一条链路)
硬件和状态话表项的冗余。
用户没必要重新建立连接
10、Failover接口类型
LAN FO 接口
心跳线,同步配置,交换ip地址和MAC地址
Link FO 接口
用于传递状态信息到Standby
建议使用独立接口,不推荐使用子接口或和FO共享
11、状态话同步表项
注:http不同步,因为http很多都是瞬时协议,默认没有开启,可以命令开启。
12、Failover健康监控
单元健康监控
ASA通过监控FO链路来确定其他单元的健康状况
当收不到来自Active设备的响应时,切换发生
接口健康监控(二层要通)
每个网络接口都可以被监控
设备通过监控接口的Hello消息
当Active设备上一个被指定为监控接口出现故障时,切换发生
13、无状态化A/S的FO配置
配置桥接设备,也就是交换机,记得接口做端口快速。
初始化Primary接口
hostname ASA
interface GigabitEthernet0/0
nameif Outside
security-level 0
ip address
interface GigabitEthernet0/1
nameif Inside
security-level 100
ip address 10.1.1.10 255.255.255.0 standby 10.1.1.20
no shutdown
interface GigabitEthernet0/2
no shutdown
注意:需要primary ASA配置Standby IP
配置Primary FO
failover lan unit primary 指定本ASA为FO的Primary设备
failover lan interface FO GigabitEthernet0/2 指定G0/2为FO链路,接口名字为FO
failover key cisco(可选)加密与验证用密钥
failover interface ip FO 192.168.1.10 255.255.255.0 standby 192.168.1.20 配置IP地址
failover 启用FO功能
配置Secondary FO
无需配置除心跳线接口的其他接口
interface GigabitEthernet0/2
no shutdown
failover lan unit secondary 指定本ASA为FO的Secondary设备
failover lan interface FO GigabitEthernet0/2 指定G0/2为FO链路,接口名字为FO
failover key cisco(可选)加密与验证用密钥
failover interface ip FO 192.168.1.10 255.255.255.0 standby 192.168.1.20 配置IP地址
failover 启用FO功能
配置主机名不会跟着切
prompt Hostname priority state 在主上配置
测试Hardware FO故障切换
FO不支持自动抢占Active功能,需要ASA1上手动配置
ASA(config)# failover active
show failover 查看状态
14、状态化A/S的FO配置
注意:下面的配置在无状态化基础之上配置
配置stateful (在主的设备配置)
interface GigabitEthernet0/3
no shutdown
failover link stateful GigabitEthernet0/3 指定3口为stateful链路,接口名字为stateful
failover interface ip stateful 192.168.2.10 255.255.255.224 standby 192.168.2.20 配置IP地址
注意:无需在ASA2上配置,因为FO链路可以把配置同步到ASA2(secondary)
如果FO和stateful都使用一个口,配置如下:
failover
failover lan unit primary
failover lan interface failover GigabitEthernet0/2
failover link failover GigabitEthernet0/3
failover interface ip failover 12.16.101.1 255.255.255.224 standby 12.16.101.2 两条链路的名字要一致
15、微调选项
默认FO的标准
单元标准
轮询时间间隔默认1s
Hold时间间隔默认15s 对应命令 failover polltime unit msec 300 holdtime 15 这个可以调为毫秒
接口标准
轮询时间间隔默认5s
hold时间间隔默认25s 对应命令 failover polltime interface msec 300 holdtime 15 这个也可以调为毫秒,默认子接口不发,也不监控
接口策略:触发FO切换的故障接口数量默认1个 对应的命令 interface policy 1
还可以只监控某个接口,若接口失败,切换触发 monitor-interface Inside
还可以针对接口总数的百分比来切换 50% interface policy 50%
固定Active和Standby MAC地址
环境需求
如果备机起来了,主的没起来,ip地址之前又配置,那么没问题,但是mac地址却不知道主的,这样就能用备的IP地址,但是当主起来,切到主,主用主的mac,就会出现arp问题。
failover mac addeess Inside 0000.0000.1111(主) 0000.0000.2222(备)
failover mac addeess Outside 0000.0000.3333(主) 0000.0000.4444(备)
原文地址:https://www.cnblogs.com/Wendong-Xia/p/10482600.html