ASA双主 Failover配置操作.doc

上传人:11****ws 文档编号:3737153 上传时间:2019-07-10 格式:DOC 页数:12 大小:329.92KB
下载 相关 举报
ASA双主 Failover配置操作.doc_第1页
第1页 / 共12页
ASA双主 Failover配置操作.doc_第2页
第2页 / 共12页
ASA双主 Failover配置操作.doc_第3页
第3页 / 共12页
ASA双主 Failover配置操作.doc_第4页
第4页 / 共12页
ASA双主 Failover配置操作.doc_第5页
第5页 / 共12页
点击查看更多>>
资源描述

1、ASA Active/Acitve FO注:以下理论部分摘自百度文库:ASA 状态化的 FO 配置,要在物理设备起用多模式,必须创建子防火墙。在每个物理设备上配置两个 Failover 组(failover group) ,且最多配置两个。Failover 特性是 Cisco 安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,当主设备 down 掉的时候,备用设备能够马上接管主设备的工作,进而保持通信的连通性;Failover 配置要求两个进行 Failover 的设备通过专用的 failover 线缆和可选的 Stateful Failover 线缆互相连接;活动设备的接口被mon

2、itor,用于发现是否要进行 Failover 切换 Failover 分为 failover 和 Stateful Failover,即故障切换和带状态的故障切换。不带状态的 failover 在进行切换的时候,所有活动的连接信息都会丢失,所有 Client 都需要重新建立连接信息,那么这会导致流量的间断。带状态的 failover,主设备将配置信息拷贝给备用设备的同时,也会把自己的连接状态信息拷贝给备用设备,那么当主的设备 down 的时候,由于备用设备上保存有连接信息,因此 Client 不需要重新建立连接,那么也就不会导致流量的中断。Failover link 两个 failover

3、设备频繁的在 failover link 上进行通信,进而检测对等体的状态。以下信息是通过 failover link 通信的信息: 设备状态(active or standby) ; 电源状态(只用于基于线缆的 failover;) Hello messages (keep-alives) ; Network link 状态; MAC 地址交换; 配置的复制和同步;(Note :所有通过 failover 和 stateful failover 线缆的信息都是以明文传送的,除非你使用 failover key 来对信息进行加密;)Stateful link在 stateful link 上,

4、拷贝给备用设备的连接状态信息有: NAT 转换表; TCP 连接状态; UDP 连接状态; ARP 表 2 层转发表(运行在透明模式的时候) HTTP 连接状态信息(如果启用了 HTTP 复制) ISAKMP 和 IPSec SA 表 GTP PDP 连接数据库以下信息不会拷贝给备用设备: HTTP 连接状态信息(除非启用了 HTTP 复制) 用户认证表(uauth) 路由表 DHCP 服务器地址租期Failover 包括 LAN-Based Failover 和 Cable-Based Failover;对于 PIX 设备,只支持基于线缆(Cable-Based )的 Failover;Fa

5、ilover linkLAN-Based Failover link 可以使用未使用的接口来作为 failover link。不能够使用配置过名字的接口做为 failover 接口,并且,failover 接口的 IP 地址不能够直接配置到接口上;应使用专门的命令对其进行配置;该接口仅仅用于 failover通信;两个 failover 接口之间必须使用专用的路径,如,使用专用的交换机,该交换机上不连接任何其他设备;或者使用正常交换机的时候,划一个 VLAN,并且仅仅将 failover 接口划分到该 VLAN 中;Cable-Based Failover link 这种 failover 对

6、两个 failover 设备的距离有要求,要求距离不能超过 6 英尺;并且使用的线缆也是 failover 线缆,该线缆的一端标记“Primary” ,另一端标记“ Secondary”并且设备的角色是通过线缆指定的,连接在 Primary 端的设备被指定为主,连接在 Secondary 端的设备被指定为备;该线缆传送数据的速率为 115Kbps;因此同步配置的速度相比 LAN-Base 的failover 会慢;Stateful Failover Link 如果使用带状态的 Failover,那么就需要配置一个用于传送状态信息的线缆,你可以选用以下三种线中的一种作为 stateful fai

7、lover link: 用专用的接口连接 Stateful failover Link; 使用 LAN-Based failover,你也可以使用 failover link 作为 stateful failover link,即 failover 和 stateful failover 使用同一个线缆;要求该接口是fastest Ethernet; 你也可以使用数据接口作为 Stateful Failover 接口,比如 inside interface。但是不推荐这样做;每种 failover 又包含有 Active/Active(以后简写为,A/A)和Active/Standby(以后简

8、写为 A/S)两类;A/A failover,两个设备可以同时传送流量。这可以让你实现负载均衡。A/A failover 只能运行在多虚拟防火墙模式下。A/S failover,同一时间,只能有一个设备传输流量,另一个设备作为备份用,A/S failover 即可以运行在 single 模式下,又能够运行在多模式下;运行 failover 的两个设备,在硬件配置上要完全一样,比如必须要有相同的模块,相同的接口类型和接口数,相同的 flash memory 以及相同的 RAM 等;在软件上,两个设备要运行在相同的模式下面,必须有相同的主软件版本等;对于许可证,要求至少有一个设备要是 UR 版的许

9、可证;Active/Standby Failover Active/Standby Failover(A/S)中,一个设备为活动设备,转发流量,另一个设备作为备份,当主设备 down 的时候,备份设备开始接管流量;备用设备接管以后,会继承主 IP 地址和 MAC 地址,继续转发流量;Primary/Secondary status and Active/Standby Status做 FO 的两台设备,必须指定一台为 Primary,另一台为 Secondary。Primary 和 Secondary 是一个物理概念,不会改变。Failover 设备之间,主要的不同就是角色问题,即哪个设备为

10、active 哪个设备为 standby,同时也决定了哪个 IP 地址以及哪个设备转发流量; 如果两个设备同时启动,那么配置为 primary 的设备为 active; Primary 设备的 MAC 地址总是和 active IP 地址绑定在一起。唯一的例外就是当 standby 设备变为 active 后,不能够通过 failover link 上获得 primary 设备的MAC 地址,那么这时候就使用 secondary 设备的 MAC 地址;设备的初始化和配置同步当 Failover 设备启动的时候,配置才会同步,配置信息总是从 active 同步到standby 设备;当 stan

11、dby 设备完成初始化以后,它就清除自己的 running configure(除了 failover 命令以外,因为这些命令需要和 active 进行 failover 通信) ;Active 选举设备是根据以下情况决定的: 设备启动后,如果检测到对等体已经存在为 active,那么它自己将为standby 如果没有检测到对等体存在,那么它将成为 active;如果此时有另外一个 active 设备连接了进来,那么这两个 active 设备将重新协商谁来做active。 如果设备同时启动,那么根据配置中指定的 primary 和 secondary 来决定设备的角色是 active 还是 s

12、tandby;假设 A 被指定为 primary,B 被指定为 secondary;当 B 启动后,没有检测到A 的存在,那么 B 将为 Active,它使用自己的 MAC 地址和 active IP 做绑定。然而,当 primary 启动可用后, secondary 设备将会用 primary 设备的 MAC 地址和active IP 绑定,这可能会导致流量的中断;避免方法是可以配置 failover 虚拟MAC 地址;#failover mac address Inside 0000.0000.0001 0000.0000.0002(注:0000.0000.000.1 是 activer

13、的 MAC,0000.0000.0002 是 standby 的MAC,只能在 A/S 的配置下使用此命令, A/A 不适合)Failover 的触发以下任何一个事件发生时,都会触发 Failover: 设备发生硬件失败或电源故障; 设备出现软件失败; 太多的 monitored 接口 fail; No failover active 命令在 active 设备上被输入或在 standby 设备上输入failover active 命令;Active/Active Failover A/A failover 只能工作在多虚拟防火墙模式下,在 A/A failover 模式下,两个设备都可以转发

14、流量;在 A/A failover 下,你可以将虚拟防火墙划分到 failover group 中,一个 failover group 是一个或多个虚拟防火墙集合,在防火墙上最多只支持 2 个 failover group,admin context 总是属于 failover group 1,任何未分配的虚拟防火墙默认下也属于 failover group 1;Failover group 是 A/A failover 的基本单元,failover group 失败的时候,物理设备不一定失败;failover 组在一个设备上 fail 了,在另外一个设备上就会active,另外设备上的该组就

15、会继续转发流量;在 A/A failover 中,primary/secondary 决定以下两个事情: 当两个设备同时启动的时候,决定哪个设备提供配置文件信息; 当两个设备同时启动的时候,决定哪个设备上的哪个 failover group 为active。每个 failover group 也会被配置一个 primary 或 secondary,当两个failover group 在同一个设备同时为 active 的时候,那么另一个设备也就为备用设备;每个 failover group 是否为 active,由以下几种情况决定: 当设备启动的时候,没有检测到对等体,那么两个 failover

16、 group 在这个设备上都为 active; 当设备启动后,检测到对等体为 active(两个 failover group 都在 active 状态) ,除非以下情况发生,否则 active 设备上的两个 failover group 仍为 active 状态:failover 发生;使用 no failover active 命令进行手工切换;配置 failover group 中带有 preempt(抢占)命令; 当两个设备同时启动,在配置同步后,每个 failover group 在相应的设备中正常为 active;Failover Health Monitoring ASA 监视整

17、个设备的 health 和接口的 health 情况,下面分别对这两种监视进行描述; 设备 health 监视安全设备通过 monitor failover link 来决定对等设备是否 health。如果设备在failover link 上没有收到 3 个连续的 hello 报文的时候,那么就在所有接口上发送ARP 请求,包括 failover 接口。设备下一步所采取的行为,取决于以下的响应情况: 如果设备在 failover 接口收到了响应,那么就不发生 failover;如果设备在 failover 接口没有收到响应,而在其他接口上收到了响应,那么不发生 failover,设备会将 fa

18、ilover 接口标记为 failed。 如果设备没有在任何接口上收到响应,那么发生 failover 你可以配置发送hello 包的间隔和发生 failover 的 hold time 值,时间越短; 接口 health 监视 你可以最多 monitor 250 个接口,如果一个设备在一半的 hold time 时仍没有从 monitor 接口上收到 hello 报文,那么它将进行以下的 test:Link Up/Down 测试测试接口的状态。在开始每个测试之前,设备会清掉这个接口上收到包的计数器的值,然后设备看在该接口上是否收到了包,如果收到了,则说明接口是好的,那么就开始 network

19、 test; Network Activity test网络活动行测试。设备计数 5 秒内,该接口收到的所有的包,如果 5 秒内收到包了,那么说明接口和网络连接正常,并停止这个阶段的测试。如果没有收到流量,那么 ARP test 开始; ARP test读取 ARP 缓寸中的 2 个最近的 ARP 请求条目。然后向这些设备再次发送 ARP 请求,发出请求后,设备会计数 5 秒内收到的流量,如果收到了流量,那么就认为接口运行正常;如果没有任何流量收到,那么就向第二个设备发送 ARP 请求,如果仍没有流量收到,那么就进行 pingtest; 广播 Ping 测试设备发出 ping 包,然后开始计数

20、 5 秒内收到的包,如果5 秒内收到了 ping 响应包,那么认为接口正常并停止测试;如果以上测试都失败,那么该接口就 failover,就发生 failover;以下实验,拓扑如下:说明:图中连接 ISP 和 Inside 的路由器的交换机要划分出几个 vlan,具体可参照图中。两个物理防火墙 ASA-1,和 ASA-2,分别在每个防火墙上虚拟出两个子防火墙 c1 和 c2。每个子防火墙关联物理防火墙的两个物理接口。两个物理防火墙的 Gi 4 和 Gi 5 口分别做 FO 链路口和 Stateful 链路口。ISP 和 Inside 路由器和两个 PC 的 IP 如下(PC 的 IP 自动获

21、得,在 Inside 路由器上做 DHCP):名称 端口 IPFa1/0 200.100.1.1/24ISPFa2/0 200.100.2.1/24Inside Fa1/0 10.1.1.254/24Fa2/0 10.1.2.254/24PC1 10.1.1.1/24PC2 10.1.2.1/24要求:PC1 发起的流量全部经过 c1 子防火墙 nat 出去;PC2 发起的流量全部经过 c2 子防火墙 nat 出去;两个物理防火墙做高可用性 FO,当一个物理设备防火墙或者一个 failover 组有故障的时候,流量全部转移到另一个物理防火墙的的 failover 组。配置:1. Inside

22、路由器做 DHCP Server 并且抓取相应的源做 PBR。#ipdhcp pool 1network 10.1.1.0 255.255.255.0default-router 10.1.1.254#ipdhcp pool 2network 10.1.2.0 255.255.255.0default-router 10.1.2.254#access-list 101 permit ip 10.1.1.0 0.0.0.255 any#route-map 1 permit 10matchip address 101setip next-hop 192.168.1.10(抓取源地址,并设定它的下一

23、跳是 192.168.1.10)#interface FastEthernet0/0ip address 10.1.1.254 255.255.255.0ip policy route-map 1(接口调用)#interface FastEthernet0/1ip address 10.1.2.254 255.255.255.0#interface FastEthernet1/0ip address 192.168.1.1 255.255.255.0#interface FastEthernet2/0ip address 192.168.2.1 255.255.255.0#ip route 0

24、.0.0.0 0.0.0.0 192.168.2.10(其他走默认路由)ISP 路由器的配置:#interface FastEthernet1/0ip address 200.100.1.1 255.255.255.0#interface FastEthernet2/0ip address 200.100.2.1 255.255.255.0#ip route 10.1.1.0 255.255.255.0 200.100.1.10#ip route 10.1.2.0 255.255.255.0 200.100.2.102. ASA 的 FO 和状态化链路配置ASA-1:#mode multipl

25、e (切换防火墙到多模式,才可以配置虚拟子防火墙)#interface GigabitEthernet0 (将所有要关联到子防火墙的接口 no no shutdown shutdown,这里只列举一个)#failover group 1 (配置 failover 组 1)primary(组 1 在 primary 物理设备为上开启抢占功能,优先成 active.preempt 当发生 failover,原来由 active 状态变为 standby 状态,若此时将failover 组或者设备变为正常,primary 设备上的加入到组 1 的子防火墙抢占变为 active(这里是 c1) 。最多

26、创建两个 failover group)#failover group 2secondary (组 2 在 secondary 的物理设备上开启抢占功能,优先preempt 成为 active)#admin-context admin (配置管理子防火墙,后面的 admin 可随便写,admin-context 意思是创建管理子防火墙)#context admin (进入 admin 子防火墙配置)config-url disk0:/admin.cfg (配置文件存储目录)#context c1 (配置子防火墙,命令名 c1)config-url disk0:/c1.cfg (配置文件储存目录

27、)allocate-interface GigabitEthernet0 (关联物理接口 G0.G1 到子墙,这样在子墙里才能看到有接口,下同)allocate-interface GigabitEthernet1join-failover-group 1 (将 c1 子墙加入到 failover group 1)#context c2 (配置子防火墙,命令为 c2)config-url disk0:/c2.cfg (配置 c2 子墙的文件储存目录)allocate-interface GigabitEthernet2(关联物理接口到子墙)allocate-interface GigabitE

28、thernet3join-failover-group 2 (将 c2 子墙加入到 failover group 2)#failover lan interface FO gigabitethernet4 (设定 gi4 物理接口为 FO接口,并且命名为 FO(名称随便写) )#failover interface ip FO 172.16.1.1 255.255.255.0 standby 172.16.1.2 (配置FO 链路 IP address)#failover link Stateful GigabitEthernet5 (设定 gi5 接品为状态化链路接口,命名为 Statefu

29、l)#failover interface ip Stateful 172.16.2.1 255.255.255.0 standby 172.16.2.2(配置状态化链路 ip address)#failover lan unit primary (配置此物理设备为 primary)#failover key 123456 (可选,配置 failover 认证密码, )#failover (开启 failover 功能)以上为 ASA-1 物理设备上的配置。接下来配置 ASA-2 物理设备上的 FO,只需要配置 failover 相关内容,其他会自动从 ASA-1 上同步。ASA-2 配置:#

30、show model (查看防火墙是在多模式下还是单模式下)#mode multiple (改变防火墙到多模式下工作)#failoverlan interface FO gigabitethernet4#failover interface ip FO 172.16.1.1 255.255.255.0 standby 172.16.1.2#failover link Stateful GigabitEthernet5#failover interface ip Stateful 172.16.2.1 255.255.255.0 standby 172.16.2.2#failover lanun

31、it secondary#failover key 123456#failoverASA-2 配置完成,完成这些步骤后,两台 ASA 开始选举各自的 Active 还是Standby。选举完成后 ASA-1 的 c1 子墙成为 Active 状态, c2 子墙成为 Standby状态,ASA-2 的 c1 子墙成为 Standby 状态,c2 子墙成为 Active 状态。所有的配置将在 Active 角色的子墙上配置,Standby 状态的子墙只能查看配置和同步Active 的配置,并检测 Active 健康状态,做好切换的准备。当 FO 的连接线出现故障的时候,则此时两个 ASA 的两个子

32、防火墙 c1 和 c2都为 Active。在 ASA-1 上#show failoverThis host: PrimaryGroup 1 State: ActiveActive time: 297 (sec)Group 2 State: ActiveActive time: 6 (sec)Other host: SecondaryGroup 1 State: FailedActive time: 169 (sec)Group 2 State: FailedActive time: 455 (sec)在 ASA-2 上#show failoverThis host: SecondaryGrou

33、p 1 State: ActiveActive time: 197 (sec)Group 2 State: ActiveActive time: 498 (sec)Other host: PrimaryGroup 1 State: FailedActive time: 276 (sec)Group 2 State: FailedActive time: 0 (sec)当 FO 链路恢复正常时再通过抢占恢复各自的是 active 还是 standby。3. 配置 c1,c2 子防火墙的 IP 和路由,均要在处于 Active 状态的子防火墙上配置,处于 Standby 状态的不能做任何配置。AS

34、A-1(config)# prompt hostname priority state context (修改“#”前面的显示字符,在物理设备下配置,这样便于查看)#changeto context c1 (切换到 c1 子防火墙进行配置)#interface GigabitEthernet0nameif Insidesecurity-level 100ip address 192.168.1.10 255.255.255.0 standby 192.168.1.20 #interface GigabitEthernet1nameif Outsidesecurity-level 0ip add

35、ress 200.100.1.10 255.255.255.0 standby 200.100.1.20#object network net1subnet 10.1.1.0 255.255.255.0nat (Inside,Outside) dynamic 200.100.1.100 (做 NAT 转换,将内部网络为 10.1.1.0/24 的主机要访问外部转换为 200.100.1.100 这个 IP,且是PAT 转换)#route Inside 10.1.1.0 255.255.255.0 192.168.1.1 (通往内部网络10.1.1.0/24 的路由)在另外一台 FO 设备上:#

36、changeto context c2 (切换到 c2 防火墙进行配置)#interface GigabitEthernet2nameif Insidesecurity-level 100ip address 192.168.2.10 255.255.255.0 standby 192.168.2.20 #interface GigabitEthernet3nameif Outsidesecurity-level 0ip address 200.100.2.10 255.255.255.0 standby 200.100.2.20 #object network net2subnet 10.1

37、.2.0 255.255.255.0nat (Inside,Outside) dynamic 200.100.2.100 (做 PAT 地址转换)#route Inside 10.1.2.0 255.255.255.0 192.168.2.1 (通往内部网络10.1.2.0/24 的路由)以上配置完成后,我们来看两个客户端 PC1 和 PC2 去访问 Outside 的路由器ISP,用 telnet 测试,看是否能正常 telnet 上去。在 PC1 上 telnet 200.100.1.1在 PC2 上 telnet 200.100.2.1:均可以正常访问外部路由器。那么如何知道负载分担的情

38、况?我们来测试一下。4. 在 PC 上用 tracert 来测试路由。在 c1 子防火墙上配置:ASA 防火墙默认的接口 IP 不出现 tracert 中,所以要做如下配置,让 asa 的接口 IP 在 tracert 过程中显示出来。#access-list 101 extended permit udp 10.1.1.0 255.255.255.0 any gt 33433 (tracert 用的端口是 UDP 大于 33433 的端口,需要特别放行)#access-list 101 extended permit ip 10.1.1.0 255.255.255.0 any (这里只做测试,范围放在很大)#class-map tracertmatch access-list 101#policy-map global_policyclass tracertset connection decrement-ttl#access-group 101 in interface Inside在 PC1 上查看:

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 实用文档资料库 > 策划方案

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。