ASA雙主-Failover配置操作

1、ASA雙主-Failover配置操作ASAActive/AcitveFO注：以下理論部分摘自百度文庫：ASA狀態(tài)化的F0配置，要在物理設(shè)備起用多模式，必須創(chuàng)建子防火墻。在每個物理設(shè)備上配置兩個Failover組（failovergroup）,且最多配置兩個。Failover特性是Cisco安全產(chǎn)品高可用性的一個解決方案，目的是為了提供不間斷的服務(wù)，當主設(shè)備down掉的時候，備用設(shè)備能夠馬上接管主設(shè)備的工作，進而保持通信的連通性；Failover配置要求兩個進行Failover的設(shè)備通過專用的failover線纜和可選的StatefulFailover線纜互相連接；活動設(shè)備的接口被monitor

2、,用于發(fā)現(xiàn)是否要進行Failover切換Failover分為failover和StatefulFailover,即故障切換和帶狀態(tài)的故障切換。不帶狀態(tài)的failover在進行切換的時候,所有活動的連接信息都會丟失，所有Client都需要重新建立連接信息，那么這會導(dǎo)致流量的間斷。帶狀態(tài)的failover,主設(shè)備將配置信息拷貝給備用設(shè)備的同時，也會把自己的連接狀態(tài)信息拷貝給備用設(shè)備，那么當主的設(shè)備down的時候，由于備用設(shè)備上保存有連接信息，因此Client不需要重新建立連接，那么也就不會導(dǎo)致流量的中斷。Failoverlink兩個failover設(shè)備頻繁的在failoverlink上進行通信，進

3、而檢測對等體的狀態(tài)。以下信息是通過failoverlink通信的信息： 設(shè)備狀態(tài)（activeorstandby）； 電源狀態(tài)（只用于基于線纜的failover；） Hellomessages（keep-alives）； Networklink狀態(tài)； MAC地址交換； 配置的復(fù)制和同步；（Note：所有通過failover和statefulfailover線纜的信息都是以明文傳送的，除非你使用failoverkey來對信息進行加密;）Statefullink在statefullink±,拷貝給備用設(shè)備的連接狀態(tài)信息有： NAT轉(zhuǎn)換表； TCP連接狀態(tài)； UDP連接狀態(tài)； ARP表 2

4、層轉(zhuǎn)發(fā)表（運行在透明模式的時候） HTTP連接狀態(tài)信息（如果啟用了HTTP復(fù)制） ISAKMP和IPSecSA表 GTPPDP連接數(shù)據(jù)庫以下信息不會拷貝給備用設(shè)備： HTTP連接狀態(tài)信息（除非啟用了HTTP復(fù)制） 用戶認證表（uauth） 路由表DHCP服務(wù)器地址租期Failover包括LAN-BasedFailover和Cable-BasedFailover；對于PIX設(shè)備，只支持基于線纜(Cable-Based)的Failover；FailoverlinkLAN-BasedFailoverlink可以使用未使用的接口來作為failoverlinko不能夠使用配置過名字的接口做為failov

5、er接口，并且，failover接口的IP地址不能夠直接配置到接口上；應(yīng)使用專門的命令對其進行配置；該接口僅僅用于failover通信；兩個failover接口之間必須使用專用的路徑，如，使用專用的交換機，該交換機上不連接任何其他設(shè)備；或者使用正常交換機的時候，劃一個VLAN,并且僅僅將failover接口劃分到該VLAN中；Cable-BasedFailoverlink這種failover對兩個failover設(shè)備的距離有要求，要求距離不能超過6英尺；并且使用的線纜也是failover線纜，該線纜的一端標記“Primary"，另一端標記"Secondary”并且設(shè)備的角色

6、是通過線纜指定的，連接在Primary端的設(shè)備被指定為主，連接在Secondary端的設(shè)備被指定為備；該線纜傳送數(shù)據(jù)的速率為115Kbps；因此同步配置的速度相比LAN-Base的failover會慢；StatefulFailoverLink如果使用帶狀態(tài)的Failover,那么就需要配置一個用于傳送狀態(tài)信息的線纜，你可以選用以下三種線中的一種作為statefulfailoverlink：用專用的接口連接StatefulfailoverLink；使用LAN-Basedfailover,你也可以使用failoverlink作為statefulfailoverlink,即failover和stat

7、efulfailover使用同一個線纜；要求該接口是fastestEthernet；你也可以使用數(shù)據(jù)接口作為StatefulFailover接口，比如insideinterfaceo但是不推薦這樣做：每種failover又包含有Active/Active(以后簡寫為,A/A)和Active/Standby(以后簡寫為A/S)兩類；A/Afailover,兩個設(shè)備可以同時傳送流量。這可以讓你實現(xiàn)負載均衡。A/Afailover只能運行在多虛擬防火墻模式下。A/Sfailover,同一時間，只能有一個設(shè)備傳輸流量，另一個設(shè)備作為備份用，A/Sfailover即可以運行在single模式下，又能夠運

8、行在多模式下；運行failover的兩個設(shè)備，在硬件配置上要完全一樣，比如必須要有相同的模塊，相同的接口類型和接口數(shù)，相同的flashmemory以及相同的RAM等；在軟件上，兩個設(shè)備要運行在相同的模式下面，必須有相同的主軟件版本等；對于許可證，要求至少有一個設(shè)備要是UR版的許可證；Active/StandbyFailoverActive/StandbyFailover(A/S)中，一個設(shè)備為活動設(shè)備，轉(zhuǎn)發(fā)流量，另一個設(shè)備作為備份，當主設(shè)備down的時候，備份設(shè)備開始接管流量；備用設(shè)備接管以后，會繼承主IP地址和MAC地址，繼續(xù)轉(zhuǎn)發(fā)流量；Primary/SecondarystatusandAc

9、tive/StandbyStatus做FO的兩臺設(shè)備，必須指定一臺為Primary,另一臺為Secondary。Primary和Secondary是一個物理概念，不會改變。Failover設(shè)備之間，主要的不同就是角色問題，即哪個設(shè)備為active哪個設(shè)備為standby,同時也決定了哪個IP地址以及哪個設(shè)備轉(zhuǎn)發(fā)流量；如果兩個設(shè)備同時啟動，那么配置為primary的設(shè)備為active；Primary設(shè)備的MAC地址總是和activeIP地址綁定在一起。唯一的例外就是當standby設(shè)備變?yōu)閍ctive后，不能夠通過failoverlink上獲得primary設(shè)備的MAC地址，那么這時候就使用se

10、condary設(shè)備的MAC地址；設(shè)備的初始化和配置同步當Failover設(shè)備啟動的時候，配置才會同步，配置信息總是從active同步到standby設(shè)備；當standby設(shè)備完成初始化以后，它就清除自己的runningconfigure（除了failover命令以外，因為這些命令需要和active進行failover通信）；Active選舉設(shè)備是根據(jù)以下情況決定的：設(shè)備啟動后，如果檢測到對等體已經(jīng)存在為active,那么它自己將為standby如果沒有檢測到對等體存在，那么它將成為active；如果此時有另外一個active設(shè)備連接了進來，那么這兩個active設(shè)備將重新協(xié)商誰來做active

11、o如果設(shè)備同時啟動，那么根據(jù)配置中指定的primary和secondary來決定設(shè)備的角色是active還是standby；假設(shè)A被指定為primary,B被指定為secondary；當B啟動后，沒有檢測到A的存在，那么B將為Active,它使用自己的MAC地址和activeIP做綁定o然而,當primary啟動可用后,secondary設(shè)備將會用primary設(shè)備的MAC地址和activeIP綁定，這可能會導(dǎo)致流量的中斷；避免方法是可以配置failover虛擬MAC地址；#failovermacaddressInside0000.0000.00010000.0000.0002（注：0000.

12、0000.000.1是activer的MAC,0000.0000.0002是standby的MAC,只能在A/S的配置下使用此命令，A/A不適合）Failover的觸發(fā)以下任何一個事件發(fā)生時，都會觸發(fā)Failover： 設(shè)備發(fā)生硬件失敗或電源故障； 設(shè)備出現(xiàn)軟件失敗； 太多的monitored接口fail； Nofailoveractive命令在active設(shè)備上被輸入或在standby設(shè)備上輸入failoveractive命令；Active/ActiveFailoverA/Afailover只能工作在多虛擬防火墻模式下，在A/Afailover模式下，兩個設(shè)備都可以轉(zhuǎn)發(fā)流量；在A/Afail

13、over下，你可以將虛擬防火墻劃分到failovergroup中，一個failovergroup是一個或多個虛擬防火墻集合,在防火墻上最多只支持2個failovergroup,admincontext總是屬于failovergroup1,任何未分配的虛擬防火墻默認下也屬于failovergroup1；Failovergroup是A/Afailover的基本單元，failovergroup失敗的時候,物理設(shè)備不一定失敗；failover組在一個設(shè)備上fail了,在另外一個設(shè)備上就會active,另外設(shè)備上的該組就會繼續(xù)轉(zhuǎn)發(fā)流量;在A/Afailover中，primary/secondary決定以

14、下兩個事情：當兩個設(shè)備同時啟動的時候，決定哪個設(shè)備提供配置文件信息；當兩個設(shè)備同時啟動的時候，決定哪個設(shè)備上的哪個failovergroup為activeo每個failovergroup也會被配置一個primary或secondary,當兩個failovergroup在同一個設(shè)備同時為active的時候，那么另一個設(shè)備也就為備用設(shè)備；每個failovergroup是否為active,由以下幾種情況決定：當設(shè)備啟動的時候，沒有檢測到對等體，那么兩個failovergroup在這個設(shè)備上都為active；當設(shè)備啟動后，檢測到對等體為active（兩個failovergroup都在active狀態(tài)）

15、，除非以下情況發(fā)生，否則active設(shè)備上的兩個failovergroup仍為active狀態(tài)：failover發(fā)生；使用nofailoveractive命令進行手工切換；配置failovergroup中帶有preempt（搶占）命令；當兩個設(shè)備同時啟動，在配置同步后，每個failovergroup在相應(yīng)的設(shè)備中正常為active；FailoverHealthMonitoringASA監(jiān)視整個設(shè)備的health和接口的health情況，下面分別對這兩種監(jiān)視進行描述； 設(shè)備health監(jiān)視安全設(shè)備通過monitorfailoverlink來決定對等設(shè)備是否health。如果設(shè)備在failover

16、link上沒有收到3個連續(xù)的hello報文的時候，那么就在所有接口上發(fā)送ARP請求，包括failover接口。設(shè)備下一步所采取的行為，取決于以下的響應(yīng)情況：如果設(shè)備在failover接口收到了響應(yīng)，那么就不發(fā)生failover；如果設(shè)備在failover接口沒有收到響應(yīng)，而在其他接口上收到了響應(yīng),那么不發(fā)生failover,設(shè)備會將failover接口標記為failed。如果設(shè)備沒有在任何接口上收到響應(yīng)，那么發(fā)生failover你可以配置發(fā)送hello包的間隔和發(fā)生failover的holdtime值，時間越短; 接口health監(jiān)視你可以最多monitor250個接口，如果一個設(shè)備在一半的h

17、oldtime時仍沒有從monitor接口上收到hello報文,那么它將進行以下的test：LinkUp/Down測試測試接口的狀態(tài)。在開始每個測試之前，設(shè)備會清掉這個接口上收到包的計數(shù)器的值，然后設(shè)備看在該接口上是否收到了包，如果收到了，則說明接口是好的，那么就開始networktest；NetworkActivitytest網(wǎng)絡(luò)活動行測試。設(shè)備計數(shù)5秒內(nèi)，該接口收到的所有的包，如果5秒內(nèi)收到包了，那么說明接口和網(wǎng)絡(luò)連接正常，并停止這個階段的測試。如果沒有收到流量，那么ARPtest開始；ARPtest讀取ARP緩寸中的2個最近的ARP請求條目。然后向這些設(shè)備再次發(fā)送ARP請求，發(fā)出請求后，

18、設(shè)備會計數(shù)5秒內(nèi)收到的流量，如果收到了流量，那么就認為接口運行正常；如果沒有任何流量收到那么就向第二個設(shè)備發(fā)送ARP請求，如果仍沒有流量收到，那么就進行pingtest；廣播Ping測試一一設(shè)備發(fā)出ping包，然后開始計數(shù)5秒內(nèi)收到的包，如果5秒內(nèi)收到了ping響應(yīng)包，那么認為接口正常并停止測試；如果以上測試都失敗，那么該接口就failover,就發(fā)生failover；以下實驗，拓撲如下：ISPASA-L ASA-2:拘g(shù) 火堵AQ-I和ASA-2fl!M兩個子防火境. 命名加I.C2橋拘困的火的GiO,G】l&n?g定劃依火0I I.將物理仍火的Gi2.Gi3接口策定利子的火 C2.

19、物理按DCM匐2逢搜.»fl!ftnGi5«Staleruliiff.FaO/12Vian 2: FaO/l.raO'lXFnO.VUn 3: FM，】2.Fe/M.hiQ/24Vian 4: FuO/17. F72OVian 5: FaO/18.FX19FaO/132(M 】8.2.0/“HI Gwp 2Standby，控防火F0 Group 1Standby座抵訪火墻ClfO foup IActiveP0 Group 2ActiveGi 5 StatefulStatefulGi 5F»0/i3FaO/24192.16R. 1.0/24.168.2S4I

20、nsidePC 2說明：圖中連接ISP和Inside的路由器的交換機要劃分出幾個vlan,具體可參照圖中。兩個物理防火墻ASA-L和ASA-2,分別在每個防火墻上虛擬出兩個子防火墻cl和c2o每個子防火墻關(guān)聯(lián)物理防火墻的兩個物理接口。兩個物理防火墻的Gi4和Gi5口分別做F0鏈路口和Stateful鏈路口。ISP和Inside路由器和兩個PC的IP如下（PC的IP自動獲得，在Inside路由器上做DHCP）：名稱端口IPISPFal/0/24Fa2/0/24InsideFal/054/24Fa2/054/24PCI10

21、.1.1.1/24PC210.L2.1/24要求：PC1發(fā)起的流量全部經(jīng)過cl子防火墻nat出去；PC2發(fā)起的流量全部經(jīng)過c2子防火墻nat出去；兩個物理防火墻做高可用性F0,當一個物理設(shè)備防火墻或者一個failover組有故障的時候，流量全部轉(zhuǎn)移到另一個物理防火墻的的failover組。配置：1. Inside路由器做DHCPServer并且抓取相應(yīng)的源做PBR。# ipdhcppool1network10.1.L0default-router10.LL254Sipdhcppool2networkdefault-router

22、54#access-list101permitip55any# route-map1permit10matchipaddress101setipnext-hop0（抓取源地址，并設(shè)定它的下一跳是0）# interfaceFastEthernetO/0ipaddress10.1.L254ippolicyroute-map1（接口調(diào)用）# interfaceFastEthernetO/1ipaddress54ttinterfaceFastEt

23、hernetl/0ipaddressttinterfaceFastEthernet2/0ipaddress# iproute0（其他走默認路由）ISP路由器的配置：# interfaceFastEthernet1/0ipaddress# interfaceFastEthernet2/0ipaddress# iproute255.255.25

24、5.00# iproute02. ASA的F0和狀態(tài)化鏈路配置ASA-1：#modemultiple（切換防火墻到多模式，才可以配置虛擬子防火墻）ttinterfaceGigabitEthernet0（將所有要關(guān)聯(lián)到子防火墻的接口n。noshutdownshutdown>這里只列舉一個）ttfailovergroup1（配置failover組1）primary（組1在primary物理設(shè)備為上開啟搶占功能，優(yōu)先成active.preempt當發(fā)生failover,原來由active狀態(tài)變?yōu)閟tandby

25、狀態(tài)，若此時將failover組或者設(shè)備變?yōu)檎?，primary設(shè)備上的加入到組1的子防火墻搶占變?yōu)閍ctive（這里是cl）。最多創(chuàng)建兩個failovergroup）#failovergroup2secondary（組2在secondary的物理設(shè)備上開啟搶占功能，優(yōu)先preempt成為active）#admin-contextadmin（配置管理子防火墻，后面的admin可隨便寫，admin-context意思是創(chuàng)建管理子防火墻）contextadmin（進入admin子防火墻配置）config-urldiskO:/admin,cfg（配置文件存儲目錄）#contextcl（配置子防火墻，

26、命令名cl）config-urldiskO:/cl.cfg（配置文件儲存目錄）allocate-interfaceGigabitEthernetO（關(guān)聯(lián)物理接口GO.G1到子墻，這樣在子墻里才能看到有接口，下同）allocate-interfaceGigabitEthernet1join-failover-group1（將cl子墻加入到failovergroup1）ttcontextc2（配置子防火墻，命令為c2）config-urldisk0：/c2.cfg（配置c2子墻的文件儲存目錄）allocate-interfaceGigabitEthernet2（關(guān)聯(lián)物理接口到子墻）allocate

27、-interfaceGigabitEthernet3join-fai1over-group2（將c2子墻加入到failovergroup2）#failoverlaninterfaceFOgigabitethernet4（設(shè)定gi4物理接口為FO接口，并且命名為FO（名稱隨便寫）ttfailoverinterfaceipFO172>16.L1standby172.16.1. 2（配置FO鏈路IPaddress）# failoverlinkStatefulGigabitEthernet5（設(shè)定gi5接品為狀態(tài)化鏈路接口，命名為Stateful）ttfailoveri

28、nterfaceipStatefulstandby（配置狀態(tài)化鏈路ipaddress）ttfailoverlanunitprimary（配置此物理設(shè)備為primary）#failoverkey123456（可選，配置failover認證密碼，）# failover（開啟failover功能）以上為ASA-1物理設(shè)備上的配置。接下來配置ASA-2物理設(shè)備上的F0,只需要配置failover相關(guān)內(nèi)容，其他會自動從ASAT上同步。ASA-2配置：# showmodel（查看防火墻是在多模式下還是單模式下）# modemultiple（

29、改變防火墻到多模式下工作）# failoverlaninterfaceFOgigabitethernet4#failoverinterfaceipFOstandbyttfailoverlinkStatefulGigabitEthernet5itfailoverinterfaceipStatefulstandby#failoverlanunitsecondary#failoverkey123456ttfailoverASA-2配置完成,完成這些步驟后，兩臺ASA開始

30、選舉各自的Active還是Standbyo選舉完成后ASA-1的cl子墻成為Active狀態(tài)，c2子墻成為Standby狀態(tài)，ASA-2的cl子墻成為Standby狀態(tài)，c2子墻成為Active狀態(tài)。所有的配置將在Active角色的子墻上配置，Standby狀態(tài)的子墻只能查看配置和同步Active的配置，并檢測Active健康狀態(tài),做好切換的準備。當F0的連接線出現(xiàn)故障的時候，則此時兩個ASA的兩個子防火墻cl和c2都為Active在ASA-1Jl#showfailoverThishost:PrimaryGroup1State:ActiveActivetime:297(sec)Group2St

31、ate：ActiveActivetime：6(sec)Otherhost：SecondaryGroup1State：FailedActivetime：169(sec)Group2State：FailedActivetime：455(sec)在ASA-2±#showfailoverThishost：SecondaryGroup1State:ActiveActivetime:197(sec)Group2State：ActiveActivetime:498(sec)Otherhost：PrimaryGroup1State：Activetime：Failed276(sec)Group2Sta

32、te：FailedActivetime：0(sec)當F0鏈路恢復(fù)正常時再通過搶占恢復(fù)各自的是active還是standbyo3.配置cl,c2子防火墻的IP和路由，均要在處于Active狀態(tài)的子防火墻上配置，處于Standby狀態(tài)的不能做任何配置。ASA-1（config）#prompthostnameprioritystatecontext（修改“產(chǎn)前面的顯示字符，在物理設(shè)備下配置，這樣便于查看）(config)#prompthostnameprioritystatecontextASA-l/pi/act(config)#ttchangetocontextcl（切換到cl子防火墻進行配置）

33、kSA-l/pri/act(config)#uhanet:ocontext1A5A/aut/ci(conf；#interfaceGigabitEthernet0nameifInsidesecurity-level100ipaddress0standby0#interfaceGigabitEthernet1nameifOutsidesecurity-level0ipaddress0standby0#objectnetworknetlsubnet10.1.1.

34、0nat(Inside,Outside)dynamic00(做NAT轉(zhuǎn)換，將內(nèi)部網(wǎng)絡(luò)為/24的主機要訪問外部轉(zhuǎn)換為200.100.L100這個IP,且是PAT轉(zhuǎn)換)#routeInside(通往內(nèi)部網(wǎng)絡(luò)/24的路由)在另外一臺F0設(shè)備上：ttchangetocontextc2（切換到c2防火墻進行配置）ASA-l/sec/stby#changetocontextc2ASA-l/sec/act/c2#conftASAT/sec/act/c2(config

35、)#ttinterfaceGigabitEthernet2nameifInsidesecurity-level100ipaddress0standby0nameifOutsidesecurity-level0ipaddress0standby0#objectnetworknet2subnetnat（Inside,Outside）dynamic00（做PAT地址轉(zhuǎn)換）#routeInside10

36、.1.2.0（通往內(nèi)部網(wǎng)絡(luò)10.L2.0/24的路由）以上配置完成后，我們來看兩個客戶端PC1和PC2去訪問Outside的路由器ISP,用telnet測試，看是否能正常telnet上去。在PC1上telnetlehe:zOC.IjC.1.1-duplexautospeedautotintevFaceRastFthe?*net0/lnoipaddressshutdownduplexautospeedautointerfaccPastEthcrnctl/0ipaddressdup

37、lexautospeedautotinterfoccFastEthcrnct2/0ipaddress在PC2上telnet：國UserAccessUerificationPassword：Outside>enPassword：Outside#均可以正常訪問外部路由器。那么如何知道負載分擔的情況？我們來測試一下。4.在PC上用tracert來測試路由。在cl子防火墻上配置：ASA防火墻默認的接口IP不出現(xiàn)tracert中，所以要做如下配置，讓asa的接口IP在tracert過程中顯示出來。#acce

38、ss-list101extendedpermitudpanygt33433（tracert用的端口是UDP大于33433的端口，需要特別放行）#access-list101extendedpermitipany(這里只做測試，范圍放在很大)#class-maptracertmatchaccess-list101#policy-mapglobal_policyclasstracertsetconnectiondecrement-ttl#access-group101ininterfaceInside在PCI上查看：C：Usersadfnin>tFAceyt通過最多30個躍點跟蹤到的路由129ms22ms9ns54218ms*55ns192.1G8.1.10396ms29ns50ns200.100.1-1同樣在c2子防火墻上