ASA双主 Failover配置操作精编版.docx

1、ASA双主 Failover配置操作精编版ASA Active/Acitve FO注：以下理论部分摘自XX文库：ASA状态化的FO配置，要在物理设备起用多模式，必须创建子防火墙。在每个物理设备上配置两个Failover组（failover group），且最多配置两个。Failover特性是Cisco安全产品高可用性的一个解决方案，目的是为了提供不间断的服务，当主设备down掉的时候，备用设备能够马上接管主设备的工作，进而保持通信的连通性；Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接；活动设备的接口被

2、monitor，用于发现是否要进行Failover切换Failover分为failover和Stateful Failover，即故障切换和带状态的故障切换。不带状态的failover在进行切换的时候，所有活动的连接信息都会丢失，所有Client都需要重新建立连接信息，那么这会导致流量的间断。带状态的failover，主设备将配置信息拷贝给备用设备的同时，也会把自己的连接状态信息拷贝给备用设备，那么当主的设备down的时候，由于备用设备上保存有连接信息，因此Client不需要重新建立连接，那么也就不会导致流量的中断。Failover link 两个failover设备频繁的在failover

3、link上进行通信，进而检测对等体的状态。以下信息是通过failover link通信的信息： 设备状态（active or standby）； 电源状态（只用于基于线缆的failover；） Hello messages （keep-alives）； Network link 状态； MAC地址交换； 配置的复制和同步；（Note ：所有通过failover 和stateful failover线缆的信息都是以明文传送的，除非你使用failover key来对信息进行加密；）Stateful link在stateful link上，拷贝给备用设备的连接状态信息有： NAT 转换表； TCP连

4、接状态； UDP连接状态； ARP表 2层转发表（运行在透明模式的时候） HTTP连接状态信息（如果启用了HTTP复制） ISAKMP和IPSec SA表 GTP PDP连接数据库以下信息不会拷贝给备用设备： HTTP连接状态信息（除非启用了HTTP复制） 用户认证表（uauth） 路由表 DHCP服务器地址租期Failover包括LAN-Based Failover和Cable-Based Failover；对于PIX设备，只支持基于线缆（Cable-Based）的Failover；Failover linkLAN-Based Failover link 可以使用未使用的接口来作为failo

5、ver link。不能够使用配置过名字的接口做为failover接口，并且，failover接口的IP地址不能够直接配置到接口上；应使用专门的命令对其进行配置；该接口仅仅用于failover通信；两个failover接口之间必须使用专用的路径，如，使用专用的交换机，该交换机上不连接任何其他设备；或者使用正常交换机的时候，划一个VLAN，并且仅仅将failover接口划分到该VLAN中；Cable-Based Failover link 这种failover对两个failover设备的距离有要求，要求距离不能超过6英尺；并且使用的线缆也是failover线缆，该线缆的一端标记“Primary”，

6、另一端标记“Secondary”并且设备的角色是通过线缆指定的，连接在Primary端的设备被指定为主，连接在Secondary端的设备被指定为备；该线缆传送数据的速率为115Kbps；因此同步配置的速度相比LAN-Base的failover会慢；Stateful Failover Link 如果使用带状态的Failover，那么就需要配置一个用于传送状态信息的线缆，你可以选用以下三种线中的一种作为stateful failover link： 用专用的接口连接Stateful failover Link； 使用LAN-Based failover，你也可以使用failover link作为s

7、tateful failover link，即failover和stateful failover使用同一个线缆；要求该接口是fastest Ethernet； 你也可以使用数据接口作为Stateful Failover接口，比如inside interface。但是不推荐这样做；每种failover又包含有Active/Active（以后简写为，A/A）和Active/Standby（以后简写为A/S）两类；A/A failover，两个设备可以同时传送流量。这可以让你实现负载均衡。A/A failover只能运行在多虚拟防火墙模式下。A/S failover，同一时间，只能有一个设备传输流

8、量，另一个设备作为备份用，A/S failover即可以运行在single模式下，又能够运行在多模式下；运行failover的两个设备，在硬件配置上要完全一样，比如必须要有相同的模块，相同的接口类型和接口数，相同的flash memory以及相同的RAM等；在软件上，两个设备要运行在相同的模式下面，必须有相同的主软件版本等；对于许可证，要求至少有一个设备要是UR版的许可证；Active/Standby Failover Active/Standby Failover（A/S）中，一个设备为活动设备，转发流量，另一个设备作为备份，当主设备down的时候，备份设备开始接管流量；备用设备接管以后，会

9、继承主IP地址和MAC地址，继续转发流量；Primary/Secondary status and Active/Standby Status做FO的两台设备，必须指定一台为Primary，另一台为Secondary。Primary 和Secondary是一个物理概念，不会改变。Failover设备之间，主要的不同就是角色问题，即哪个设备为active哪个设备为standby，同时也决定了哪个IP地址以及哪个设备转发流量； 如果两个设备同时启动，那么配置为primary的设备为active； Primary设备的MAC地址总是和active IP地址绑定在一起。唯一的例外就是当standby设

10、备变为active后，不能够通过failover link上获得primary设备的MAC地址，那么这时候就使用secondary设备的 MAC地址；设备的初始化和配置同步当Failover设备启动的时候，配置才会同步，配置信息总是从active同步到standby设备；当standby设备完成初始化以后，它就清除自己的running configure（除了failover命令以外，因为这些命令需要和active进行failover通信）；Active选举设备是根据以下情况决定的： 设备启动后，如果检测到对等体已经存在为active，那么它自己将为standby 如果没有检测到对等体存在，那

11、么它将成为active；如果此时有另外一个active设备连接了进来，那么这两个active设备将重新协商谁来做active。 如果设备同时启动，那么根据配置中指定的primary和secondary来决定设备的角色是active还是standby；假设A被指定为primary，B被指定为secondary；当B启动后，没有检测到A的存在，那么B将为Active，它使用自己的MAC地址和active IP做绑定。然而，当primary启动可用后，secondary设备将会用primary设备的MAC地址和active IP绑定，这可能会导致流量的中断；避免方法是可以配置failover 虚拟M

12、AC地址；#failover mac address Inside 0000.0000.0001 0000.0000.0002（注：0000.0000.000.1是activer的MAC，0000.0000.0002是standby的MAC，只能在A/S的配置下使用此命令，A/A不适合）Failover的触发以下任何一个事件发生时，都会触发Failover： 设备发生硬件失败或电源故障； 设备出现软件失败； 太多的monitored接口fail； No failover active命令在active设备上被输入或在standby设备上输入failover active命令；Active/Ac

13、tive Failover A/A failover只能工作在多虚拟防火墙模式下，在A/A failover模式下，两个设备都可以转发流量；在A/A failover下，你可以将虚拟防火墙划分到failover group中，一个failover group是一个或多个虚拟防火墙集合，在防火墙上最多只支持2个failover group，admin context总是属于failover group 1，任何未分配的虚拟防火墙默认下也属于failover group 1；Failover group是A/A failover的基本单元，failover group失败的时候，物理设备不一定失败

14、；failover组在一个设备上fail了，在另外一个设备上就会active，另外设备上的该组就会继续转发流量；在A/A failover中，primary/secondary决定以下两个事情： 当两个设备同时启动的时候，决定哪个设备提供配置文件信息； 当两个设备同时启动的时候，决定哪个设备上的哪个failover group为active。每个failover group也会被配置一个primary或secondary，当两个failover group在同一个设备同时为active的时候，那么另一个设备也就为备用设备；每个failover group是否为active，由以下几种情况决定：

15、 当设备启动的时候，没有检测到对等体，那么两个failover group在这个设备上都为active； 当设备启动后，检测到对等体为active（两个failover group都在 active状态），除非以下情况发生，否则active设备上的两个failover group仍为active状态：failover 发生；使用no failover active命令进行手工切换；配置failover group中带有preempt（抢占）命令； 当两个设备同时启动，在配置同步后，每个failover group在相应的设备中正常为active；Failover Health Monitori

16、ng ASA监视整个设备的health和接口的health情况，下面分别对这两种监视进行描述； 设备health监视安全设备通过monitor failover link来决定对等设备是否health。如果设备在failover link上没有收到3个连续的hello报文的时候，那么就在所有接口上发送ARP请求，包括failover 接口。设备下一步所采取的行为，取决于以下的响应情况： 如果设备在failover 接口收到了响应，那么就不发生failover； 如果设备在failover接口没有收到响应，而在其他接口上收到了响应，那么不发生failover，设备会将failover 接口标记为

17、failed。 如果设备没有在任何接口上收到响应，那么发生failover 你可以配置发送hello包的间隔和发生failover的hold time值，时间越短； 接口health监视 你可以最多monitor 250个接口，如果一个设备在一半的hold time时仍没有从monitor接口上收到hello报文，那么它将进行以下的test： Link Up/Down 测试测试接口的状态。在开始每个测试之前，设备会清掉这个接口上收到包的计数器的值，然后设备看在该接口上是否收到了包，如果收到了，则说明接口是好的，那么就开始network test； Network Activity test网络

18、活动行测试。设备计数5秒内，该接口收到的所有的包，如果5秒内收到包了，那么说明接口和网络连接正常，并停止这个阶段的测试。如果没有收到流量，那么ARP test开始； ARP test读取ARP缓寸中的2个最近的ARP请求条目。然后向这些设备再次发送ARP请求，发出请求后，设备会计数5秒内收到的流量，如果收到了流量，那么就认为接口运行正常；如果没有任何流量收到，那么就向第二个设备发送ARP请求，如果仍没有流量收到，那么就进行pingtest； 广播Ping测试设备发出ping包，然后开始计数5秒内收到的包，如果5秒内收到了ping响应包，那么认为接口正常并停止测试；如果以上测试都失败，那么该接口

19、就failover，就发生failover；以下实验，拓扑如下：说明：图中连接ISP和Inside的路由器的交换机要划分出几个vlan，具体可参照图中。两个物理防火墙ASA-1，和ASA-2，分别在每个防火墙上虚拟出两个子防火墙c1和c2。每个子防火墙关联物理防火墙的两个物理接口。两个物理防火墙的Gi 4和Gi 5口分别做FO链路口和Stateful链路口。ISP和Inside路由器和两个PC的IP如下（PC的IP自动获得，在Inside路由器上做DHCP）：名称端口IPISPFa1/0200.100.1.1/24Fa2/0200.100.2.1/24InsideFa1/010.1.1.254

20、/24Fa2/010.1.2.254/24PC110.1.1.1/24PC210.1.2.1/24要求：PC1发起的流量全部经过c1子防火墙nat出去；PC2发起的流量全部经过c2子防火墙nat出去；两个物理防火墙做高可用性FO，当一个物理设备防火墙或者一个failover 组有故障的时候，流量全部转移到另一个物理防火墙的的failover组。配置：1. Inside 路由器做DHCP Server并且抓取相应的源做PBR。#ipdhcp pool 1 network 10.1.1.0 255.255.255.0 default-router 10.1.1.254#ipdhcp pool 2

21、network 10.1.2.0 255.255.255.0 default-router 10.1.2.254#access-list 101 permit ip 10.1.1.0 0.0.0.255 any#route-map 1 permit 10 matchip address 101 setip next-hop 192.168.1.10（抓取源地址，并设定它的下一跳是192.168.1.10）#interface FastEthernet0/0 ip address 10.1.1.254 255.255.255.0 ip policy route-map 1（接口调用）#inter

22、face FastEthernet0/1 ip address 10.1.2.254 255.255.255.0#interface FastEthernet1/0 ip address 192.168.1.1 255.255.255.0#interface FastEthernet2/0 ip address 192.168.2.1 255.255.255.0#ip route 0.0.0.0 0.0.0.0 192.168.2.10（其他走默认路由）ISP路由器的配置：#interface FastEthernet1/0 ip address 200.100.1.1 255.255.255

23、.0 #interface FastEthernet2/0 ip address 200.100.2.1 255.255.255.0 #ip route 10.1.1.0 255.255.255.0 200.100.1.10#ip route 10.1.2.0 255.255.255.0 200.100.2.102. ASA的FO和状态化链路配置ASA-1:#mode multiple （切换防火墙到多模式，才可以配置虚拟子防火墙）#interface GigabitEthernet0 （将所有要关联到子防火墙的接口no no shutdown shutdown，这里只列举一个）#failov

24、er group 1 （配置failover 组1）primary（组1在primary物理设备为上开启抢占功能，优先成active.preempt当发生failover，原来由active状态变为standby状态，若此时将failover组或者设备变为正常，primary设备上的加入到组1的子防火墙抢占变为active（这里是c1）。最多创建两个failover group）#failover group 2 secondary （组2在secondary的物理设备上开启抢占功能，优先preempt成为active） #admin-context admin （配置管理子防火墙，后面的ad

25、min可随便写，admin-context意思是创建管理子防火墙）#context admin （进入admin子防火墙配置） config-url disk0:/admin.cfg （配置文件存储目录）#context c1 （配置子防火墙，命令名c1） config-url disk0:/c1.cfg （配置文件储存目录） allocate-interface GigabitEthernet0 （关联物理接口G0.G1到子墙，这样在子墙里才能看到有接口，下同） allocate-interface GigabitEthernet1 join-failover-group 1 （将c1子墙加

26、入到failover group 1）#context c2 （配置子防火墙，命令为c2）config-url disk0:/c2.cfg （配置c2子墙的文件储存目录）allocate-interface GigabitEthernet2（关联物理接口到子墙）allocate-interface GigabitEthernet3join-failover-group 2 （将c2子墙加入到failover group 2）#failover lan interface FO gigabitethernet4 （设定gi4物理接口为FO接口，并且命名为FO（名称随便写）#failover in

27、terface ip FO 172.16.1.1 255.255.255.0 standby 172.16.1.2 （配置FO链路IP address）#failover link Stateful GigabitEthernet5 （设定gi5接品为状态化链路接口，命名为Stateful）#failover interface ip Stateful 172.16.2.1 255.255.255.0 standby 172.16.2.2 （配置状态化链路ip address）#failover lan unit primary （配置此物理设备为primary）#failover key 1

28、23456 （可选，配置failover认证密码，）#failover （开启failover功能）以上为ASA-1物理设备上的配置。接下来配置ASA-2物理设备上的FO,只需要配置failover相关内容，其他会自动从ASA-1上同步。ASA-2配置：#show model （查看防火墙是在多模式下还是单模式下）#mode multiple （改变防火墙到多模式下工作）#failoverlan interface FO gigabitethernet4#failover interface ip FO 172.16.1.1 255.255.255.0 standby 172.16.1.2#f

29、ailover link Stateful GigabitEthernet5#failover interface ip Stateful 172.16.2.1 255.255.255.0 standby 172.16.2.2#failover lanunit secondary#failover key 123456#failoverASA-2配置完成，完成这些步骤后，两台ASA开始选举各自的Active还是Standby。选举完成后ASA-1的c1子墙成为Active状态，c2子墙成为Standby状态，ASA-2的c1子墙成为Standby状态，c2子墙成为Active状态。所有的配置将

30、在Active角色的子墙上配置，Standby状态的子墙只能查看配置和同步Active的配置，并检测Active健康状态，做好切换的准备。当FO的连接线出现故障的时候，则此时两个ASA的两个子防火墙c1和c2都为Active。在ASA-1上#show failover This host: Primary Group 1 State: Active Active time: 297 (sec) Group 2 State: Active Active time: 6 (sec) Other host: Secondary Group 1 State: Failed Active time: 1

31、69 (sec) Group 2 State: Failed Active time: 455 (sec)在ASA-2上#show failover This host: Secondary Group 1 State: Active Active time: 197 (sec) Group 2 State: Active Active time: 498 (sec) Other host: Primary Group 1 State: Failed Active time: 276 (sec) Group 2 State: Failed Active time: 0 (sec)当FO链路恢复正常时再通过抢占恢复各自的是active还是standby。3. 配置c1，c2子防火墙的IP和路由，均要在处于Active状态的子防火墙上配置，处于Standby状态的不能做任何配置。ASA-1(config)# prompt hostname priority state context （修