ASA雙主 Failover配置操作

1、ASA Active/Acitve FO注：以下理論部分摘自百度文庫：ASA狀態(tài)化的FO配置，要在物理設(shè)備起用多模式，必須創(chuàng)建子防火墻。在每個(gè)物理設(shè)備上配置兩個(gè)Failover組（failover group），且最多配置兩個(gè)。Failover特性是Cisco安全產(chǎn)品高可用性的一個(gè)解決方案，目的是為了提供不間斷的服務(wù)，當(dāng)主設(shè)備down掉的時(shí)候，備用設(shè)備能夠馬上接管主設(shè)備的工作，進(jìn)而保持通信的連通性；Failover配置要求兩個(gè)進(jìn)行Failover的設(shè)備通過專用的failover線纜和可選的Stateful Failover線纜互相連接；活動(dòng)設(shè)備的接口被monitor，用于發(fā)現(xiàn)是否要進(jìn)行Fail

2、over切換Failover分為failover和Stateful Failover，即故障切換和帶狀態(tài)的故障切換。不帶狀態(tài)的failover在進(jìn)行切換的時(shí)候，所有活動(dòng)的連接信息都會(huì)丟失，所有Client都需要重新建立連接信息，那么這會(huì)導(dǎo)致流量的間斷。帶狀態(tài)的failover，主設(shè)備將配置信息拷貝給備用設(shè)備的同時(shí)，也會(huì)把自己的連接狀態(tài)信息拷貝給備用設(shè)備，那么當(dāng)主的設(shè)備down的時(shí)候，由于備用設(shè)備上保存有連接信息，因此Client不需要重新建立連接，那么也就不會(huì)導(dǎo)致流量的中斷。Failover link 兩個(gè)failover設(shè)備頻繁的在failover link上進(jìn)行通信，進(jìn)而檢測(cè)對(duì)等體的狀態(tài)。

3、以下信息是通過failover link通信的信息：Ø l 設(shè)備狀態(tài)（active or standby）；Øl 電源狀態(tài)（只用于基于線纜的failover；）Øl Hello messages （keep-alives）；l Network link 狀態(tài)；l MAC地址交換；Ø l 配置的復(fù)制和同步；（Note ：所有通過failover 和stateful failover線纜的信息都是以明文傳送的，除非你使用failover key來對(duì)信息進(jìn)行加密；）Stateful link在stateful link上，拷貝給備用設(shè)備的連接狀態(tài)信息有：

4、16; l NAT 轉(zhuǎn)換表；Ø l TCP連接狀態(tài)；Ø l UDP連接狀態(tài)；Ø l ARP表Ø l 2層轉(zhuǎn)發(fā)表（運(yùn)行在透明模式的時(shí)候）Ø l HTTP連接狀態(tài)信息（如果啟用了HTTP復(fù)制）Ø l ISAKMP和IPSec SA表Ø l GTP PDP連接數(shù)據(jù)庫以下信息不會(huì)拷貝給備用設(shè)備：Øl HTTP連接狀態(tài)信息（除非啟用了HTTP復(fù)制）Ø l 用戶認(rèn)證表（uauth）Ø l 路由表Ø l DHCP服務(wù)器地址租期Failover包括LAN-Based Failover和Cable-Ba

5、sed Failover；對(duì)于PIX設(shè)備，只支持基于線纜（Cable-Based）的Failover；Failover linkLAN-Based Failover link 可以使用未使用的接口來作為failover link。不能夠使用配置過名字的接口做為failover接口，并且，failover接口的IP地址不能夠直接配置到接口上；應(yīng)使用專門的命令對(duì)其進(jìn)行配置；該接口僅僅用于failover通信；兩個(gè)failover接口之間必須使用專用的路徑，如，使用專用的交換機(jī)，該交換機(jī)上不連接任何其他設(shè)備；或者使用正常交換機(jī)的時(shí)候，劃一個(gè)VLAN，并且僅僅將failover接口劃分到該VLAN中；

6、Cable-Based Failover link 這種failover對(duì)兩個(gè)failover設(shè)備的距離有要求，要求距離不能超過6英尺；并且使用的線纜也是failover線纜，該線纜的一端標(biāo)記“Primary”，另一端標(biāo)記“Secondary”并且設(shè)備的角色是通過線纜指定的，連接在Primary端的設(shè)備被指定為主，連接在Secondary端的設(shè)備被指定為備；該線纜傳送數(shù)據(jù)的速率為115Kbps；因此同步配置的速度相比LAN-Base的failover會(huì)慢；Stateful Failover Link 如果使用帶狀態(tài)的Failover，那么就需要配置一個(gè)用于傳送狀態(tài)信息的線纜，你可以選用以下三種

7、線中的一種作為stateful failover link：l 用專用的接口連接Stateful failover Link；Ø l 使用LAN-Based failover，你也可以使用failover link作為stateful failover link，即failover和stateful failover使用同一個(gè)線纜；要求該接口是fastest Ethernet；Ø l 你也可以使用數(shù)據(jù)接口作為Stateful Failover接口，比如inside interface。但是不推薦這樣做；每種failover又包含有Active/Active（以后簡(jiǎn)寫為，A/

8、A）和Active/Standby（以后簡(jiǎn)寫為A/S）兩類；A/A failover，兩個(gè)設(shè)備可以同時(shí)傳送流量。這可以讓你實(shí)現(xiàn)負(fù)載均衡。A/A failover只能運(yùn)行在多虛擬防火墻模式下。A/S failover，同一時(shí)間，只能有一個(gè)設(shè)備傳輸流量，另一個(gè)設(shè)備作為備份用，A/S failover即可以運(yùn)行在single模式下，又能夠運(yùn)行在多模式下；運(yùn)行failover的兩個(gè)設(shè)備，在硬件配置上要完全一樣，比如必須要有相同的模塊，相同的接口類型和接口數(shù)，相同的flash memory以及相同的RAM等；在軟件上，兩個(gè)設(shè)備要運(yùn)行在相同的模式下面，必須有相同的主軟件版本等；對(duì)于許可證，要求至少有一個(gè)設(shè)

9、備要是UR版的許可證；Active/Standby Failover Active/Standby Failover（A/S）中，一個(gè)設(shè)備為活動(dòng)設(shè)備，轉(zhuǎn)發(fā)流量，另一個(gè)設(shè)備作為備份，當(dāng)主設(shè)備down的時(shí)候，備份設(shè)備開始接管流量；備用設(shè)備接管以后，會(huì)繼承主IP地址和MAC地址，繼續(xù)轉(zhuǎn)發(fā)流量；Primary/Secondary status and Active/Standby Status做FO的兩臺(tái)設(shè)備，必須指定一臺(tái)為Primary，另一臺(tái)為Secondary。Primary 和Secondary是一個(gè)物理概念，不會(huì)改變。Failover設(shè)備之間，主要的不同就是角色問題，即哪個(gè)設(shè)備為active

10、哪個(gè)設(shè)備為standby，同時(shí)也決定了哪個(gè)IP地址以及哪個(gè)設(shè)備轉(zhuǎn)發(fā)流量；Ø 如果兩個(gè)設(shè)備同時(shí)啟動(dòng)，那么配置為primary的設(shè)備為active；Ø Primary設(shè)備的MAC地址總是和active IP地址綁定在一起。唯一的例外就是當(dāng)standby設(shè)備變?yōu)閍ctive后，不能夠通過failover link上獲得primary設(shè)備的MAC地址，那么這時(shí)候就使用secondary設(shè)備的 MAC地址；設(shè)備的初始化和配置同步當(dāng)Failover設(shè)備啟動(dòng)的時(shí)候，配置才會(huì)同步，配置信息總是從active同步到standby設(shè)備；當(dāng)standby設(shè)備完成初始化以后，它就清除自己的runn

11、ing configure（除了failover命令以外，因?yàn)檫@些命令需要和active進(jìn)行failover通信）；Active選舉設(shè)備是根據(jù)以下情況決定的：Ø l 設(shè)備啟動(dòng)后，如果檢測(cè)到對(duì)等體已經(jīng)存在為active，那么它自己將為standbyl 如果沒有檢測(cè)到對(duì)等體存在，那么它將成為active；如果此時(shí)有另外一個(gè)active設(shè)備連接了進(jìn)來，那么這兩個(gè)active設(shè)備將重新協(xié)商誰來做active。Ø l 如果設(shè)備同時(shí)啟動(dòng)，那么根據(jù)配置中指定的primary和secondary來決定設(shè)備的角色是active還是standby；假設(shè)A被指定為primary，B被指定為sec

12、ondary；當(dāng)B啟動(dòng)后，沒有檢測(cè)到A的存在，那么B將為Active，它使用自己的MAC地址和active IP做綁定。然而，當(dāng)primary啟動(dòng)可用后，secondary設(shè)備將會(huì)用primary設(shè)備的MAC地址和active IP綁定，這可能會(huì)導(dǎo)致流量的中斷；避免方法是可以配置failover 虛擬MAC地址；#failover mac address Inside 0000.0000.0001 0000.0000.0002（注：0000.0000.000.1是activer的MAC，0000.0000.0002是standby的MAC，只能在A/S的配置下使用此命令，A/A不適合）Fail

13、over的觸發(fā)以下任何一個(gè)事件發(fā)生時(shí)，都會(huì)觸發(fā)Failover：Ø l 設(shè)備發(fā)生硬件失敗或電源故障；Ø l 設(shè)備出現(xiàn)軟件失??；Ø l 太多的monitored接口fail；l No failover active命令在active設(shè)備上被輸入或在standby設(shè)備上輸入failover active命令；Active/Active Failover A/A failover只能工作在多虛擬防火墻模式下，在A/A failover模式下，兩個(gè)設(shè)備都可以轉(zhuǎn)發(fā)流量；在A/A failover下，你可以將虛擬防火墻劃分到failover group中，一個(gè)failover

14、 group是一個(gè)或多個(gè)虛擬防火墻集合，在防火墻上最多只支持2個(gè)failover group，admin context總是屬于failover group 1，任何未分配的虛擬防火墻默認(rèn)下也屬于failover group 1；Failover group是A/A failover的基本單元，failover group失敗的時(shí)候，物理設(shè)備不一定失??；failover組在一個(gè)設(shè)備上fail了，在另外一個(gè)設(shè)備上就會(huì)active，另外設(shè)備上的該組就會(huì)繼續(xù)轉(zhuǎn)發(fā)流量；在A/A failover中，primary/secondary決定以下兩個(gè)事情：Ø 當(dāng)兩個(gè)設(shè)備同時(shí)啟動(dòng)的時(shí)候，決定哪個(gè)設(shè)備

15、提供配置文件信息；Ø 當(dāng)兩個(gè)設(shè)備同時(shí)啟動(dòng)的時(shí)候，決定哪個(gè)設(shè)備上的哪個(gè)failover group為active。每個(gè)failover group也會(huì)被配置一個(gè)primary或secondary，當(dāng)兩個(gè)failover group在同一個(gè)設(shè)備同時(shí)為active的時(shí)候，那么另一個(gè)設(shè)備也就為備用設(shè)備；每個(gè)failover group是否為active，由以下幾種情況決定：Ø 當(dāng)設(shè)備啟動(dòng)的時(shí)候，沒有檢測(cè)到對(duì)等體，那么兩個(gè)failover group在這個(gè)設(shè)備上都為active；Ø 當(dāng)設(shè)備啟動(dòng)后，檢測(cè)到對(duì)等體為active（兩個(gè)failover group都在 active

16、狀態(tài)），除非以下情況發(fā)生，否則active設(shè)備上的兩個(gè)failover group仍為active狀態(tài)：failover 發(fā)生；使用no failover active命令進(jìn)行手工切換；配置failover group中帶有preempt（搶占）命令；Ø 當(dāng)兩個(gè)設(shè)備同時(shí)啟動(dòng)，在配置同步后，每個(gè)failover group在相應(yīng)的設(shè)備中正常為active；Failover Health Monitoring ASA監(jiān)視整個(gè)設(shè)備的health和接口的health情況，下面分別對(duì)這兩種監(jiān)視進(jìn)行描述；l 設(shè)備health監(jiān)視安全設(shè)備通過monitor failover link來決定對(duì)等設(shè)備

17、是否health。如果設(shè)備在failover link上沒有收到3個(gè)連續(xù)的hello報(bào)文的時(shí)候，那么就在所有接口上發(fā)送ARP請(qǐng)求，包括failover 接口。設(shè)備下一步所采取的行為，取決于以下的響應(yīng)情況：Ø 如果設(shè)備在failover 接口收到了響應(yīng)，那么就不發(fā)生failover；Ø如果設(shè)備在failover接口沒有收到響應(yīng)，而在其他接口上收到了響應(yīng)，那么不發(fā)生failover，設(shè)備會(huì)將failover 接口標(biāo)記為failed。Ø 如果設(shè)備沒有在任何接口上收到響應(yīng)，那么發(fā)生failover 你可以配置發(fā)送hello包的間隔和發(fā)生failover的hold time

18、值，時(shí)間越短；l 接口health監(jiān)視Ø 你可以最多monitor 250個(gè)接口，如果一個(gè)設(shè)備在一半的hold time時(shí)仍沒有從monitor接口上收到hello報(bào)文，那么它將進(jìn)行以下的test：Ø Link Up/Down 測(cè)試測(cè)試接口的狀態(tài)。在開始每個(gè)測(cè)試之前，設(shè)備會(huì)清掉這個(gè)接口上收到包的計(jì)數(shù)器的值，然后設(shè)備看在該接口上是否收到了包，如果收到了，則說明接口是好的，那么就開始network test；Ø Network Activity test網(wǎng)絡(luò)活動(dòng)行測(cè)試。設(shè)備計(jì)數(shù)5秒內(nèi)，該接口收到的所有的包，如果5秒內(nèi)收到包了，那么說明接口和網(wǎng)絡(luò)連接正常，并停止這個(gè)階段

19、的測(cè)試。如果沒有收到流量，那么ARP test開始；Ø ARP test讀取ARP緩寸中的2個(gè)最近的ARP請(qǐng)求條目。然后向這些設(shè)備再次發(fā)送ARP請(qǐng)求，發(fā)出請(qǐng)求后，設(shè)備會(huì)計(jì)數(shù)5秒內(nèi)收到的流量，如果收到了流量，那么就認(rèn)為接口運(yùn)行正常；如果沒有任何流量收到，那么就向第二個(gè)設(shè)備發(fā)送ARP請(qǐng)求，如果仍沒有流量收到，那么就進(jìn)行pingtest；Ø 廣播Ping測(cè)試設(shè)備發(fā)出ping包，然后開始計(jì)數(shù)5秒內(nèi)收到的包，如果5秒內(nèi)收到了ping響應(yīng)包，那么認(rèn)為接口正常并停止測(cè)試；如果以上測(cè)試都失敗，那么該接口就failover，就發(fā)生failover；以下實(shí)驗(yàn)，拓?fù)淙缦拢赫f明：圖中連接ISP和I

20、nside的路由器的交換機(jī)要?jiǎng)澐殖鰩讉€(gè)vlan，具體可參照?qǐng)D中。兩個(gè)物理防火墻ASA-1，和ASA-2，分別在每個(gè)防火墻上虛擬出兩個(gè)子防火墻c1和c2。每個(gè)子防火墻關(guān)聯(lián)物理防火墻的兩個(gè)物理接口。兩個(gè)物理防火墻的Gi 4和Gi 5口分別做FO鏈路口和Stateful鏈路口。ISP和Inside路由器和兩個(gè)PC的IP如下（PC的IP自動(dòng)獲得，在Inside路由器上做DHCP）：名稱端口IPISPFa1/0/24Fa2/0/24InsideFa1/054/24Fa2/054/24PC1 /24PC2

21、 /24要求：PC1發(fā)起的流量全部經(jīng)過c1子防火墻nat出去；PC2發(fā)起的流量全部經(jīng)過c2子防火墻nat出去；兩個(gè)物理防火墻做高可用性FO，當(dāng)一個(gè)物理設(shè)備防火墻或者一個(gè)failover 組有故障的時(shí)候，流量全部轉(zhuǎn)移到另一個(gè)物理防火墻的的failover組。配置：1. Inside 路由器做DHCP Server并且抓取相應(yīng)的源做PBR。#ipdhcp pool 1 network default-router 54#ipdhcp pool 2 network d

22、efault-router 54#access-list 101 permit ip 55 any#route-map 1 permit 10 matchip address 101 setip next-hop 0（抓取源地址，并設(shè)定它的下一跳是0）#interface FastEthernet0/0 ip address 54 ip policy route-map 1（接口調(diào)用）#interface FastEthernet0/1 ip address

23、54 #interface FastEthernet1/0 ip address #interface FastEthernet2/0 ip address #ip route 0（其他走默認(rèn)路由）ISP路由器的配置：#interface FastEthernet1/0 ip address #interface FastEthernet2/0 ip

24、 address #ip route 0#ip route 02. ASA的FO和狀態(tài)化鏈路配置ASA-1:#mode multiple（切換防火墻到多模式，才可以配置虛擬子防火墻）#interface GigabitEthernet0（將所有要關(guān)聯(lián)到子防火墻的接口no no shutdownshutdown，這里只列舉一個(gè)）#failover group 1（配置failover 組1）primary（組1

25、在primary物理設(shè)備為上開啟搶占功能，優(yōu)先成active.preempt當(dāng)發(fā)生failover，原來由active狀態(tài)變?yōu)閟tandby狀態(tài)，若此時(shí)將failover組或者設(shè)備變?yōu)檎?，primary設(shè)備上的加入到組1的子防火墻搶占變?yōu)閍ctive（這里是c1）。最多創(chuàng)建兩個(gè)failover group）#failover group 2secondary（組2在secondary的物理設(shè)備上開啟搶占功能，優(yōu)先preempt成為active）#admin-context admin（配置管理子防火墻，后面的admin可隨便寫，admin-context意思是創(chuàng)建管理子防火墻）#contex

26、t admin（進(jìn)入admin子防火墻配置）config-url disk0:/admin.cfg（配置文件存儲(chǔ)目錄）#context c1（配置子防火墻，命令名c1）config-url disk0:/c1.cfg（配置文件儲(chǔ)存目錄）allocate-interface GigabitEthernet0 （關(guān)聯(lián)物理接口G0.G1到子墻，這樣在子墻里才能看到有接口，下同）allocate-interface GigabitEthernet1join-failover-group 1（將c1子墻加入到failover group 1）#context c2 （配置子防火墻，命令為c2）confi

27、g-url disk0:/c2.cfg（配置c2子墻的文件儲(chǔ)存目錄）allocate-interface GigabitEthernet2（關(guān)聯(lián)物理接口到子墻）allocate-interface GigabitEthernet3join-failover-group 2（將c2子墻加入到failover group 2）#failover lan interface FO gigabitethernet4（設(shè)定gi4物理接口為FO接口，并且命名為FO（名稱隨便寫）#failover interface ip FO standby 172.16

28、.1.2（配置FO鏈路IP address）#failover link Stateful GigabitEthernet5（設(shè)定gi5接品為狀態(tài)化鏈路接口，命名為Stateful）#failover interface ip Stateful standby （配置狀態(tài)化鏈路ip address）#failover lan unit primary（配置此物理設(shè)備為primary）#failover key 123456（可選，配置failover認(rèn)證密碼，）#failover（開啟failover功能）以上為ASA-1物

29、理設(shè)備上的配置。接下來配置ASA-2物理設(shè)備上的FO,只需要配置failover相關(guān)內(nèi)容，其他會(huì)自動(dòng)從ASA-1上同步。ASA-2配置：#show model（查看防火墻是在多模式下還是單模式下）#mode multiple（改變防火墻到多模式下工作）#failoverlan interface FO gigabitethernet4#failover interface ip FO standby #failover link Stateful GigabitEthernet5#failover interface ip

30、Stateful standby #failover lanunit secondary#failover key 123456#failoverASA-2配置完成，完成這些步驟后，兩臺(tái)ASA開始選舉各自的Active還是Standby。選舉完成后ASA-1的c1子墻成為Active狀態(tài)，c2子墻成為Standby狀態(tài)，ASA-2的c1子墻成為Standby狀態(tài)，c2子墻成為Active狀態(tài)。所有的配置將在Active角色的子墻上配置，Standby狀態(tài)的子墻只能查看配置和同步Active的配置，并檢測(cè)Active健康狀態(tài)，

31、做好切換的準(zhǔn)備。當(dāng)FO的連接線出現(xiàn)故障的時(shí)候，則此時(shí)兩個(gè)ASA的兩個(gè)子防火墻c1和c2都為Active。在ASA-1上#show failover This host: Primary Group 1 State: Active Active time: 297 (sec) Group 2 State: Active Active time: 6 (sec) Other host: Secondary Group 1 State: Failed Active time: 169 (sec) Group 2 State: Failed Active time: 455 (sec)在ASA-2上#

32、show failover This host: Secondary Group 1 State: Active Active time: 197 (sec) Group 2 State: Active Active time: 498 (sec) Other host: Primary Group 1 State: Failed Active time: 276 (sec) Group 2 State: Failed Active time: 0 (sec)當(dāng)FO鏈路恢復(fù)正常時(shí)再通過搶占恢復(fù)各自的是active還是standby。3. 配置c1，c2子防火墻的IP和路由，均要在處于Activ

33、e狀態(tài)的子防火墻上配置，處于Standby狀態(tài)的不能做任何配置。ASA-1(config)# prompt hostname priority state context（修改“#”前面的顯示字符，在物理設(shè)備下配置，這樣便于查看）#changeto context c1（切換到c1子防火墻進(jìn)行配置）#interface GigabitEthernet0 nameif Inside security-level 100 ip address 0 standby 0 #interface GigabitEthernet1 na

34、meif Outside security-level 0 ip address 0 standby 0#object network net1 subnet nat (Inside,Outside) dynamic 00（做NAT轉(zhuǎn)換，將內(nèi)部網(wǎng)絡(luò)為/24的主機(jī)要訪問外部轉(zhuǎn)換為 00這個(gè)IP，且是PAT轉(zhuǎn)換）#route Inside （通往內(nèi)部網(wǎng)絡(luò)1

35、/24的路由）在另外一臺(tái)FO設(shè)備上：#changeto context c2（切換到c2防火墻進(jìn)行配置）#interface GigabitEthernet2 nameif Inside security-level 100 ip address 0 standby 0 #interface GigabitEthernet3 nameif Outside security-level 0 ip address 0 standby 0 #o

36、bject network net2 subnet nat (Inside,Outside) dynamic 00（做PAT地址轉(zhuǎn)換）#route Inside （通往內(nèi)部網(wǎng)絡(luò)/24的路由）以上配置完成后，我們來看兩個(gè)客戶端PC1和PC2去訪問Outside的路由器ISP，用telnet測(cè)試，看是否能正常telnet上去。在PC1上telnet 在PC2上telnet ：均可以正常訪問外部路由器。那么

37、如何知道負(fù)載分擔(dān)的情況？我們來測(cè)試一下。4. 在PC上用tracert來測(cè)試路由。在c1子防火墻上配置：ASA防火墻默認(rèn)的接口IP不出現(xiàn)tracert中，所以要做如下配置，讓asa的接口IP在tracert過程中顯示出來。#access-list 101 extended permit udp any gt 33433 （tracert用的端口是UDP大于33433的端口，需要特別放行）#access-list 101 extended permit ip any （這里只做測(cè)試，范圍放在很大）#class-map tracert match access-list 101#policy-map global_policy class tracert set connection decrement-ttl#access-group 101 in interface Inside在PC1上查看：同樣在c2子防火墻上配置#access-list tra extended permit udp any any gt 33433 #access