cjh ASA防火墙 2022-08-29 此文章访问量 3549

14.1 思科ASA：（配置Active/Standby failover）配置防火墙的双机热备、故障转移Failover

asa- primary_2022.08.29.20时50分17秒.txt

asa-secondary_2022.08.29.20时50分52秒.txt

sw_10.12.160.6_2022.08.29.20时51分36秒.txt

sw1_2022.08.29.20时51分51秒.txt

sw2_2022.08.29.20时52分05秒.txt

备注：

除了LAN Failover与State Failover接口外，如下图所示：其他接口的ip配置信息也是同步的，即哪一台是活动主机，哪一台就的配置就用Active IP address。

防火墙的角色：

配置上的角色为failover lan unit primary 与failover lan unit secondary ，这个是永远不改变的。

活动角色：哪个设备为active哪个设备为standby。

所有设备共可能有四种角色组合:

This host: Primary - Active

This host: Primary - Standby Ready

This host: Secondary - Active

This host: Secondary- Standby Ready

一、为什么要做防火墙双机热备

1、提升网络的可靠性，避免单点故障；

2、对于防火墙而已，还可起到备份会话表等一些状态信息；

3、负载均衡；

二、双机热备形式

原理：防火墙双机热备功能提供一条专门的备份通道，用于两台防火墙之间协商主备状态，以及会话等状态信息的备份。

双击热备主要包括两种形式：

A.主备备份：

指正常情况下只由“主设备”处理业务，“备设备”处于空闲状态；当“主设备”接口、链路、整机故障时，“备设备”切换为“主设备”接替主设备处理业务。

B.负载均衡：

负载均衡也称为“互为主备”，即两台设备同时处理业务；当前中一台设备故障时，另外一台设备会立即承担业务，保证原来转发业务不中断。

实现failove的前提条件

要，两台设备需要满足以下的一些条件：

1.相同的设备型号和硬件配置：设备模块、接口类型，接口数量，CPU，内存，flash闪存等

2.相同的软件版本号，此处即指ASA的IOS版本，IOS版本需要高于7.0

3.相同的FW模式，必须同为路由模式或者透明模式

4.相同的特性集，如支持的加密同为DES或者3DES

5.合适的licensing，两台设备的license符合基本要求，能支持相同的failover

除了以上的几点之外，两台ASA实现失效转移failover还需要按照情况制作对应的failover/stateful心跳线，可以是交叉网线。

经过比对两台ASA5520的以上相关信息，发现目前两台ASA防火墙的IOS版本不一致，ASA-A是“asaxx-k8.bin，SoftwareVersion 8.4(2) ”，ASA-B是“asaxx-k8.bin，SoftwareVersion 8.4(2) ”。通过比对还发现，两台ASA支持的Licensefeatures虽并不一致，但事实上，实现failover不需要licensefeatures完全一致，只要关键的几个特性如支持failover类型相同即可。

failover接口类型

LAN FO接口：

用来确定第一个单元的运行状态并复制和同步配置。

Link FO（状态化接口）：

用于传递状态信息到Standby单元。

可以是一个独立的接口，或者和其他接口共享，包括FO接口（不推荐，最好是独立接口中）。

lan口是用来做简单的数据复制，而link口则是做状态化监控，一般两者不用同一个接口，但也可以用同一个接口。

实验目的：

使得两台防火墙互为主备，平时只有一台工作，另一台作为热备在线。等主防火墙故障后，备防火墙直接切换为主防火墙继续提供服务。

（1）拓扑图

`.png

（2）SW1的配置

vlan batch 2

interface Vlanif1

ip address 192.168.2.253 255.255.255.0

interface Vlanif2

ip address 192.168.1.253 255.255.255.0

interface GE1/0/0

undo shutdown

port default vlan 2

interface GE1/0/1

undo shutdown

port default vlan 1

interface GE1/0/2

undo shutdown

port default vlan 1

ip route-static 0.0.0.0 0.0.0.0 192.168.2.2

（3）SW2的配置

vlan batch 2

interface Vlanif1

ip address 100.100.100.253 255.255.255.0

interface Vlanif2

ip address 200.200.200.253 255.255.255.0

interface GE1/0/0

undo shutdown

port default vlan 2

interface GE1/0/1

undo shutdown

port default vlan 1

interface GE1/0/2

undo shutdown

port default vlan 1

ip route-static 0.0.0.0 0.0.0.0 100.100.100.2

（4.1）asa1的基础配置

配置管理接口的ip地址、安全区域与配置ASDM访问

interface Ethernet0

nameif manager

security-level 90

ip address 10.12.6.6 255.255.0.0

no shutdown

访问规则：允许所有

命令行配置：permit any any

ciscoasa(config)# access-list global_access_1 extended permit ip any any

ciscoasa(config)# access-group global_access_1 global

access-list global_access_1 extended permit ip any any

access-group global_access_1 global

配置ASDM来管理ASA防火墙（图形化界面管理防火墙）

ciscoasa(config)# username admin password admin privilege 15 //创建15级帐户

ciscoasa(config)# http server enable

ciscoasa(config)# http 0.0.0.0 0.0.0.0 manager //开启http的访问的范围

username admin password admin privilege 15

http server enable

http 0.0.0.0 0.0.0.0 manager

（4）asa2的基础配置

配置管理接口的ip地址、安全区域与配置ASDM访问

interface Ethernet0

nameif manager

security-level 90

ip address 10.12.6.7 255.255.0.0

no shutdown

访问规则：允许所有

命令行配置：permit any any

ciscoasa(config)# access-list global_access_1 extended permit ip any any

ciscoasa(config)# access-group global_access_1 global

access-list global_access_1 extended permit ip any any

access-group global_access_1 global

配置ASDM来管理ASA防火墙（图形化界面管理防火墙）

ciscoasa(config)# username admin password admin privilege 15 //创建15级帐户

ciscoasa(config)# http server enable

ciscoasa(config)# http 0.0.0.0 0.0.0.0 manager //开启http的访问的范围

username admin password admin privilege 15

http server enable

http 0.0.0.0 0.0.0.0 manager

ASA1配置业务接口

interface Ethernet3

nameif outside

security-level 20

ip address 100.100.100.2 255.255.255.0

no shutdown

interface Ethernet2

nameif inside

security-level 80

ip address 192.168.2.2 255.255.255.0

no shutdown

ASA1配置默认路由

route outside 0.0.0.0 0.0.0.0 100.100.100.253 1

route inside 192.168.1.0 255.255.255.0 192.168.2.253 1

（5）配置FailOver

ASDM图形化界面配置FailOver

assign a standby ip address and a monitoring status to each of the interfaces with configured active ip address.

double-click on a standby address or click on a monitoring checkbox to edit it.

press the tab or enter key after editing an address.

对于配置了主IP地址的接口，分别配置备IP地址和监控状态。

双击备用地址或单击监视复选框编辑它。

编辑地址后按TAB键或回车键。

命令行配置FailOver如下：

no failover

failover lan unit primary //定义本设备角色为主

interface Ethernet1

no shutdown

interface Ethernet4

no shutdown

failover lan interface LanLINK Ethernet1

failover interface ip LanLINK 10.10.10.1 255.255.255.0 standby 10.10.10.2

no failover key

failover link StateLINK Ethernet4

failover interface ip StateLINK 10.10.11.1 255.255.255.0 standby 10.10.11.2

monitor-interface inside

interface Ethernet2

ip address 192.168.2.2 255.255.255.0 standby 192.168.2.3

monitor-interface manager

interface Ethernet0

ip address 10.12.6.6 255.255.0.0 standby 10.12.6.7

monitor-interface outside

interface Ethernet3

ip address 100.100.100.2 255.255.255.0 standby 100.100.100.3

failover //启动failover功能

interface Ethernet1

description LAN Failover Interface

interface Ethernet4

description STATE Failover Interface

configuring the peer should only be skipped if it can be conclusively determined that configuration is being synchronized because of previous failover setting

只有当可以确定配置是由于前面的故障转移设置而同步时，才应该跳过对等体的配置

no failover (On ASA 10.12.6.7)

failover lan unit secondary (On ASA 10.12.6.7)

interface Ethernet1 (On ASA 10.12.6.7)

no nameif (On ASA 10.12.6.7)

no shutdown (On ASA 10.12.6.7)

failover lan interface LanLINK Ethernet1 (On ASA 10.12.6.7)

failover interface ip LanLINK 10.10.10.1 255.255.255.0 standby 10.10.10.2 (On ASA 10.12.6.7)

no failover key (On ASA 10.12.6.7)

failover (On ASA 10.12.6.7)

配置完成。

（6.1）检查FailOver是否配置成功

双机热血做成功后的show:

asa1# show failover

asa1# show mode

Security context mode: single

asa1#

asa1# show firewall

Firewall mode: Router

asa1#

asa1# show running-config failover

failover

failover lan unit primary

failover lan interface LanLINK Ethernet1

failover replication http

failover link StateLINK Ethernet4

failover interface ip LanLINK 10.10.10.1 255.255.255.0 standby 10.10.10.2

failover interface ip StateLINK 10.10.11.1 255.255.255.0 standby 10.10.11.2

asa1#

asa1# show monitor-interface

This host: Primary - Active

Interface manager (10.12.6.6): Normal (Monitored)

Interface inside (192.168.2.2): Normal (Monitored)

Interface outside (100.100.100.2): Normal (Monitored)

Other host: Secondary - Standby Ready

Interface manager (10.12.6.7): Normal (Monitored)

Interface inside (192.168.2.3): Normal (Monitored)

Interface outside (100.100.100.3): Normal (Monitored)

asa1#

（6.2）配置FailOver修改显示的主机名

asa1#

asa1# asa1# conf t

asa1(config)# prompt hostname priority state

asa1/pri/act(config)#

双机做成功后，在活动主机上打了prompt hostname priority state后，备机的显示如下：

asa1>

asa1/sec/stby>

（6.3）继续检查FailOver的配置

（7）测试：

关闭图中所指的接口：

[sw]int g1/0/1

[sw-GE1/0/1]shut

[sw-GE1/0/1]shutdown

asa1/pri/act# Waiting for the earlier webvpn instance to terminate...

Previous instance shut down. Starting a new one.

Switching to Standby

asa1/pri/stby#

asa1/sec/stby# Waiting for the earlier webvpn instance to terminate...

Previous instance shut down. Starting a new one.

Switching to Active

asa1/sec/act#

ping 10.12.6.6 是通的，ping 10.12.6.7是不通。

原来的主机的接口的ip地址已经使用了以前备机的ip地址：

原来的第一台asa主机的显示界面也发生了变化：asa1/pri/stby# 而不是asa1/pri/act#

（8）FailOver的切换时间

默认的时间相关配置的主备切换时间

测试时掉了8个包（断网约40秒）。

以下是默认的时间配置：

默认配置：

failover interface-policy 1

failover polltime unit 1 holdtime 15 //每1毫秒发送一个存活消息，持续15秒

failover polltime interface 5 holdtime 25 //每5秒发送一个hello包，持续25秒

failover interface-policy 1 //默认配置

failover interface-policy 50% //更改接口调整的策略，如这这命令需接口down掉50%才能够实现设备的转移。

把配置修改如下再进行测切换所需时间：

failover polltime unit 2 holdtime 6 //每2毫秒发送一个存活消息，持续6秒

failover polltime interface 2 holdtime 10 //每2秒发送一个hello包，持续10秒

测试主备时间：丢3个包，约16秒左右。

把配置修改如下再进行测切换所需时间：

failover polltime unit 1 holdtime 3 //每1毫秒发送一个存活消息，持续3秒

failover polltime interface 1 holdtime 5 //每1秒发送一个hello包，持续5秒

测试主备时间：丢2个包，约10秒左右。

恢复接口：

[sw]int g1/0/1

[sw-GE1/0/1]undo shutdown

等待了好几分钟，也没有见抢占过来，即不会抢占。

相关知识点：

Failover A/A故障切换

（1）Failover 发生在设备或context层面上

（2）当一个物理设备中的Active成员出现故障，另外一台物理设备中相同Failover Group的Standby成员将成为Active。

切换过程中Primary/Secondary身份不变

（3）切换后，IP和MAC在组成员之间交换

Failover link

两个failover设备频繁的在failover link上进行通信，进而检测对等体的状态。

以下信息是通过failover link通信的信息：

设备状态（active or standby）；

电源状态（只用于基于线缆的failover；）Hello messages （keep-alives）；

Network link 状态；

MAC地址交换；

配置的复制和同步；

（Note ：所有通过failover 和stateful failover线缆的信息都是以明文传送的，除非你使用failover key来对信息进行加密；）

Stateful link

在stateful link上，拷贝给备用设备的连接状态信息有：

NAT 转换表；

TCP连接状态；

UDP连接状态；

ARP表

2层转发表（运行在透明模式的时候）

HTTP连接状态信息（如果启用了HTTP复制）

ISAKMP和IPSec SA表

GTP PDP连接数据库

以下信息不会拷贝给备用设备：

HTTP连接状态信息（除非启用了HTTP复制）

用户认证表（uauth）

路由表Ø

DHCP服务器地址租期

Failover包括LAN-Based Failover和Cable-Based Failover；对于PIX设备，只支持基于线缆（Cable-Based）的Failover；

Failover link

LAN-Based Failover link 可以使用未使用的接口来作为failover link。不能够使用配置过名字的接口做为failover接口，并且，failover接口的IP地址不能够直接配置到接口上；应使用专门的命令对其进行配置；该接口仅仅用于failover通信；两个failover接口之间必须使用专用的路径，如，使用专用的交换机，该交换机上不连接任何其他设备；或者使用正常交换机的时候，划一个VLAN，并且仅仅将failover接口划分到该VLAN中；

Cable-Based Failover link 这种failover对两个failover设备的距离有要求，要求距离不能超过6英尺；并且使用的线缆也是failover线缆，该线缆的一端标记“Primary”，另一端标记“Secondary”并且设备的角色是通过线缆指定的，连接在Primary端的设备被指定为主，连接在Secondary端的设备被指定为备；该线缆传送数据的速率为115Kbps；因此同步配置的速度相比LAN-Base的failover会慢；

Stateful Failover Link 如果使用带状态的Failover，那么就需要配置一个用于传送状态信息的线缆，你可以选用以下三种线中的一种作为stateful failover link：

用专用的接口连接Stateful failover Link；Ø

使用LAN-Based failover，你也可以使用failover link作为stateful failover link，即failover和stateful failover使用同一个线缆；——要求该接口是fastest Ethernet；Ø

你也可以使用数据接口作为Stateful Failover接口，比如inside interface。但是不推荐这样做；

每种failover又包含有Active/Active（以后简写为，A/A）和Active/Standby（以后简写为A/S）两类；

A/A failover，两个设备可以同时传送流量。这可以让你实现负载均衡。A/A failover只能运行在多虚拟防火墙模式下。

A/S failover，同一时间，只能有一个设备传输流量，另一个设备作为备份用，A/S failover即可以运行在single模式下，又能够运行在多模式下；

运行failover的两个设备，在硬件配置上要完全一样，比如必须要有相同的模块，相同的接口类型和接口数，相同的flash memory以及相同的RAM等；在软件上，两个设备要运行在相同的模式下面，必须有相同的主软件版本等；对于许可证，要求至少有一个设备要是UR版的许可证；

Active/Standby Failover

Active/Standby Failover（A/S）中，一个设备为活动设备，转发流量，另一个设备作为备份，当主设备down的时候，备份设备开始接管流量；备用设备接管以后，会继承主IP地址和MAC地址，继续转发流量；

Primary/Secondary status and Active/Standby Status

做FO的两台设备，必须指定一台为Primary，另一台为Secondary。Primary 和Secondary是一个物理概念，不会改变。

Failover设备之间，主要的不同就是角色问题，即哪个设备为active哪个设备为standby，同时也决定了哪个IP地址以及哪个设备转发流量；

如果两个设备同时启动，那么配置为primary的设备为active；Ø

Primary设备的MAC地址总是和active IP地址绑定在一起。唯一的例外就是当standby设备变为active后，不能够通过failover link上获得primary设备的MAC地址，那么这时候就使用secondary设备的 MAC地址；

取消某一个接口的监控：

no monitor-interface manager

配置key:

ASA(config)# failover key **** //定义共享密钥相当于认证

手动切模式

强制standby防火墙变为acitve：

在standby上输入

#failover active

或者

在active上输入

#no failover staive

关闭failover

#no failover

防火墙双机热备、高可用性HA（列表、list、全）halist、fwlist、防火墙双机热备list
http://www.zh-cjh.com/wenzhangguilei/3172.html
思科Cisco ASA防火墙（列表、list、全）asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创，部分来源其他付费资源平台或互联网收集，如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境，请不要在生产环境中随意模仿，以免带来灾难性后果。

转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 14.1 思科ASA：（配置Active/Standby failover）配置防火墙的双机热备、故障转移Failover

作者： cjh

手机扫一扫，手机上查看此文章：

作者： cjh

相关推荐

一切源于价值！

未雨绸缪、居安思危！ 数据安全、有备无患！ 注意操作、数据无价！ 一切源于价值！

未雨绸缪、居安思危！

数据安全、有备无患！

注意操作、数据无价！

一切源于价值！