ASA双主Failover配置操作.docx
《ASA双主Failover配置操作.docx》由会员分享,可在线阅读,更多相关《ASA双主Failover配置操作.docx(17页珍藏版)》请在冰点文库上搜索。
ASA双主Failover配置操作
ASAActive/AcitveFO
注:
以下理论部分摘自XX文库:
ASA状态化的FO配置,要在物理设备起用多模式,必须创建子防火墙。
在每个物理设备上配置两个Failover组(failovergroup),且最多配置两个。
Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,当主设备down掉的时候,备用设备能够马上接管主设备的工作,进而保持通信的连通性;Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的StatefulFailover线缆互相连接;活动设备的接口被monitor,用于发现是否要进行Failover切换Failover分为failover和StatefulFailover,即故障切换和带状态的故障切换。
不带状态的failover在进行切换的时候,所有活动的连接信息都会丢失,所有Client都需要重新建立连接信息,那么这会导致流量的间断。
带状态的failover,主设备将配置信息拷贝给备用设备的同时,也会把自己的连接状态信息拷贝给备用设备,那么当主的设备down的时候,由于备用设备上保存有连接信息,因此Client不需要重新建立连接,那么也就不会导致流量的中断。
Failoverlink
两个failover设备频繁的在failoverlink上进行通信,进而检测对等体的状态。
以下信息是通过failoverlink通信的信息:
●设备状态(activeorstandby);
●电源状态(只用于基于线缆的failover;)
●Hellomessages(keep-alives);
●Networklink状态;
●MAC地址交换;
●配置的复制和同步;
(Note:
所有通过failover和statefulfailover线缆的信息都是以明文传送的,除非你使用failoverkey来对信息进行加密;)
Statefullink
在statefullink上,拷贝给备用设备的连接状态信息有:
●NAT转换表;
●TCP连接状态;
●UDP连接状态;
●ARP表
●2层转发表(运行在透明模式的时候)
●HTTP连接状态信息(如果启用了HTTP复制)
●ISAKMP和IPSecSA表
●GTPPDP连接数据库
以下信息不会拷贝给备用设备:
●HTTP连接状态信息(除非启用了HTTP复制)
●用户认证表(uauth)
●路由表
●DHCP服务器地址租期
Failover包括LAN-BasedFailover和Cable-BasedFailover;对于PIX设备,只支持基于线缆(Cable-Based)的Failover;
Failoverlink
LAN-BasedFailoverlink可以使用未使用的接口来作为failoverlink。
不能够使用配置过名字的接口做为failover接口,并且,failover接口的IP地址不能够直接配置到接口上;应使用专门的命令对其进行配置;该接口仅仅用于failover通信;两个failover接口之间必须使用专用的路径,如,使用专用的交换机,该交换机上不连接任何其他设备;或者使用正常交换机的时候,划一个VLAN,并且仅仅将failover接口划分到该VLAN中;
Cable-BasedFailoverlink这种failover对两个failover设备的距离有要求,要求距离不能超过6英尺;并且使用的线缆也是failover线缆,该线缆的一端标记“Primary”,另一端标记“Secondary”并且设备的角色是通过线缆指定的,连接在Primary端的设备被指定为主,连接在Secondary端的设备被指定为备;该线缆传送数据的速率为115Kbps;因此同步配置的速度相比LAN-Base的failover会慢;
StatefulFailoverLink如果使用带状态的Failover,那么就需要配置一个用于传送状态信息的线缆,你可以选用以下三种线中的一种作为statefulfailoverlink:
●用专用的接口连接StatefulfailoverLink;
●使用LAN-Basedfailover,你也可以使用failoverlink作为statefulfailoverlink,即failover和statefulfailover使用同一个线缆;——要求该接口是fastestEthernet;
●你也可以使用数据接口作为StatefulFailover接口,比如insideinterface。
但是不推荐这样做;
每种failover又包含有Active/Active(以后简写为,A/A)和Active/Standby(以后简写为A/S)两类;
A/Afailover,两个设备可以同时传送流量。
这可以让你实现负载均衡。
A/Afailover只能运行在多虚拟防火墙模式下。
A/Sfailover,同一时间,只能有一个设备传输流量,另一个设备作为备份用,A/Sfailover即可以运行在single模式下,又能够运行在多模式下;
运行failover的两个设备,在硬件配置上要完全一样,比如必须要有相同的模块,相同的接口类型和接口数,相同的flashmemory以及相同的RAM等;在软件上,两个设备要运行在相同的模式下面,必须有相同的主软件版本等;对于许可证,要求至少有一个设备要是UR版的许可证;
Active/StandbyFailover
Active/StandbyFailover(A/S)中,一个设备为活动设备,转发流量,另一个设备作为备份,当主设备down的时候,备份设备开始接管流量;备用设备接管以后,会继承主IP地址和MAC地址,继续转发流量;
Primary/SecondarystatusandActive/StandbyStatus
做FO的两台设备,必须指定一台为Primary,另一台为Secondary。
Primary和Secondary是一个物理概念,不会改变。
Failover设备之间,主要的不同就是角色问题,即哪个设备为active哪个设备为standby,同时也决定了哪个IP地址以及哪个设备转发流量;
如果两个设备同时启动,那么配置为primary的设备为active;
Primary设备的MAC地址总是和activeIP地址绑定在一起。
唯一的例外就是当standby设备变为active后,不能够通过failoverlink上获得primary设备的MAC地址,那么这时候就使用secondary设备的MAC地址;
设备的初始化和配置同步
当Failover设备启动的时候,配置才会同步,配置信息总是从active同步到standby设备;当standby设备完成初始化以后,它就清除自己的runningconfigure(除了failover命令以外,因为这些命令需要和active进行failover通信);
Active选举设备是根据以下情况决定的:
●设备启动后,如果检测到对等体已经存在为active,那么它自己将为standby
●如果没有检测到对等体存在,那么它将成为active;如果此时有另外一个active设备连接了进来,那么这两个active设备将重新协商谁来做active。
●如果设备同时启动,那么根据配置中指定的primary和secondary来决定设备的角色是active还是standby;
假设A被指定为primary,B被指定为secondary;当B启动后,没有检测到A的存在,那么B将为Active,它使用自己的MAC地址和activeIP做绑定。
然而,当primary启动可用后,secondary设备将会用primary设备的MAC地址和activeIP绑定,这可能会导致流量的中断;避免方法是可以配置failover虚拟MAC地址;
#failovermacaddressInside(注:
是activer的MAC,是standby的MAC,只能在A/S的配置下使用此命令,A/A不适合)
Failover的触发
以下任何一个事件发生时,都会触发Failover:
●设备发生硬件失败或电源故障;
●设备出现软件失败;
●太多的monitored接口fail;
●Nofailoveractive命令在active设备上被输入或在standby设备上输入failoveractive命令;
Active/ActiveFailover
A/Afailover只能工作在多虚拟防火墙模式下,在A/Afailover模式下,两个设备都可以转发流量;在A/Afailover下,你可以将虚拟防火墙划分到failovergroup中,一个failovergroup是一个或多个虚拟防火墙集合,在防火墙上最多只支持2个failovergroup,admincontext总是属于failovergroup1,任何未分配的虚拟防火墙默认下也属于failovergroup1;
Failovergroup是A/Afailover的基本单元,failovergroup失败的时候,物理设备不一定失败;failover组在一个设备上fail了,在另外一个设备上就会active,另外设备上的该组就会继续转发流量;
在A/Afailover中,primary/secondary决定以下两个事情:
当两个设备同时启动的时候,决定哪个设备提供配置文件信息;
当两个设备同时启动的时候,决定哪个设备上的哪个failovergroup为active。
每个failovergroup也会被配置一个primary或secondary,当两个failovergroup在同一个设备同时为active的时候,那么另一个设备也就为备用设备;
每个failovergroup是否为active,由以下几种情况决定:
当设备启动的时候,没有检测到对等体,那么两个failovergroup在这个设备上都为active;
当设备启动后,检测到对等体为active(两个failovergroup都在active状态),除非以下情况发生,否则active设备上的两个failovergroup仍为active状态:
——failover发生;
——使用nofailoveractive命令进行手工切换;
——配置failovergroup中带有preempt(抢占)命令;
当两个设备同时启动,在配置同步后,每个failovergroup在相应的设备中正常为active;
FailoverHealthMonitoring
ASA监视整个设备的health和接口的health情况,下面分别对这两种监视进行描述;
●设备health监视
安全设备通过monitorfailoverlink来决定对等设备是否health。
如果设备在failoverlink上没有收到3个连续的hello报文的时候,那么就在所有接口上发送ARP请求,包括failover接口。
设备下一步所采取的行为,取决于以下的响应情况:
如果设备在failover接口收到了响应,那么就不发生failover;
如果设备在failover接口没有收到响应,而在其他接口上收到了响应,那么不发生failover,设备会将failover接口标记为failed。
如果设备没有在任何接口上收到响应,那么发生failover你可以配置发送hello包的间隔和发生failover的holdtime值,时间越短;
●接口health监视
你可以最多monitor250个接口,如果一个设备在一半的holdtime时仍没有从monitor接口上收到hello报文,那么它将进行以下的test:
LinkUp/Down测试——测试接口的状态。
在开始每个测试之前,设备会清掉这个接口上收到包的计数器的值,然后设备看在该接口上是否收到了包,如果收到了,则说明接口是好的,那么就开始networktest;
NetworkActivitytest——网络活动行测试。
设备计数5秒内,该接口收到的所有的包,如果5秒内收到包了,那么说明接口和网络连接正常,并停止这个阶段的测试。
如果没有收到流量,那么ARPtest开始;
ARPtest——读取ARP缓寸中的2个最近的ARP请求条目。
然后向这些设备再次发送ARP请求,发出请求后,设备会计数5秒内收到的流量,如果收到了流量,那么就认为接口运行正常;如果没有任何流量收到,那么就向第二个设备发送ARP请求,如果仍没有流量收到,那么就进行pingtest;
广播Ping测试——设备发出ping包,然后开始计数5秒内收到的包,如果5秒内收到了ping响应包,那么认为接口正常并停止测试;如果以上测试都失败,那么该接口就failover,就发生failover;
以下实验,拓扑如下:
说明:
图中连接ISP和Inside的路由器的交换机要划分出几个vlan,具体可参照图中。
两个物理防火墙ASA-1,和ASA-2,分别在每个防火墙上虚拟出两个子防火墙c1和c2。
每个子防火墙关联物理防火墙的两个物理接口。
两个物理防火墙的Gi4和Gi5口分别做FO链路口和Stateful链路口。
ISP和Inside路由器和两个PC的IP如下(PC的IP自动获得,在Inside路由器上做DHCP):
名称
端口
IP
ISP
Fa1/0
要求:
PC1发起的流量全部经过c1子防火墙nat出去;
PC2发起的流量全部经过c2子防火墙nat出去;
两个物理防火墙做高可用性FO,当一个物理设备防火墙或者一个failover组有故障的时候,流量全部转移到另一个物理防火墙的的failover组。
配置:
1.Inside路由器做DHCPServer并且抓取相应的源做PBR。
#ipdhcppool1
networkdefault-routerpool2
networkdefault-router101permitipany
#route-map1permit10
matchipaddress101
setipnext-hop(抓取源地址,并设定它的下一跳是)
#interfaceFastEthernet0/0
ipaddressippolicyroute-map1(接口调用)
#interfaceFastEthernet0/1
ipaddressFastEthernet1/0
ipaddressFastEthernet2/0
ipaddressroute(其他走默认路由)
ISP路由器的配置:
#interfaceFastEthernet1/0
ipaddress
#interfaceFastEthernet2/0
ipaddress
#iprouterouteASA的FO和状态化链路配置
ASA-1:
#modemultiple(切换防火墙到多模式,才可以配置虚拟子防火墙)
#interfaceGigabitEthernet0(将所有要关联到子防火墙的接口no
noshutdownshutdown,这里只列举一个)
#failovergroup1(配置failover组1)
primary(组1在primary物理设备为上开启抢占功能,优先成active.
preempt当发生failover,原来由active状态变为standby状态,若此时将failover组或者设备变为正常,primary设备上的加入到组1的子防火墙抢占变为active(这里是c1)。
最多创建两个failovergroup)
#failovergroup2
secondary(组2在secondary的物理设备上开启抢占功能,优先preempt成为active)
#admin-contextadmin(配置管理子防火墙,后面的admin可随便写,admin-context意思是创建管理子防火墙)
#contextadmin(进入admin子防火墙配置)
config-urldisk0:
/(配置文件存储目录)
#contextc1(配置子防火墙,命令名c1)
config-urldisk0:
/(配置文件储存目录)
allocate-interfaceGigabitEthernet0(关联物理接口到子墙,这样在子墙里才能看到有接口,下同)
allocate-interfaceGigabitEthernet1
join-failover-group1(将c1子墙加入到failovergroup1)
#contextc2(配置子防火墙,命令为c2)
config-urldisk0:
/(配置c2子墙的文件储存目录)
allocate-interfaceGigabitEthernet2(关联物理接口到子墙)
allocate-interfaceGigabitEthernet3
join-failover-group2(将c2子墙加入到failovergroup2)
#failoverlaninterfaceFOgigabitethernet4(设定gi4物理接口为FO接口,并且命名为FO(名称随便写))
#failoverinterfaceipFOstandby(配置FO链路IPaddress)
#failoverlinkStatefulGigabitEthernet5(设定gi5接品为状态化链路接口,命名为Stateful)
#failoverinterfaceipStatefulstandby(配置状态化链路ipaddress)
#failoverlanunitprimary(配置此物理设备为primary)
#failoverkey123456(可选,配置failover认证密码,)
#failover(开启failover功能)
以上为ASA-1物理设备上的配置。
接下来配置ASA-2物理设备上的FO,只需要配置failover相关内容,其他会自动从ASA-1上同步。
ASA-2配置:
#showmodel(查看防火墙是在多模式下还是单模式下)
#modemultiple(改变防火墙到多模式下工作)
#failoverlaninterfaceFOgigabitethernet4
#failoverinterfaceipFOstandbylinkStatefulGigabitEthernet5
#failoverinterfaceipStatefulstandbylanunitsecondary
#failoverkey123456
#failover
ASA-2配置完成,完成这些步骤后,两台ASA开始选举各自的Active还是Standby。
选举完成后ASA-1的c1子墙成为Active状态,c2子墙成为Standby状态,ASA-2的c1子墙成为Standby状态,c2子墙成为Active状态。
所有的配置将在Active角色的子墙上配置,Standby状态的子墙只能查看配置和同步Active的配置,并检测Active健康状态,做好切换的准备。
当FO的连接线出现故障的时候,则此时两个ASA的两个子防火墙c1和c2都为Active。
在ASA-1上#showfailover
Thishost:
Primary
Group1State:
Active
Activetime:
297(sec)
Group2State:
Active
Activetime:
6(sec)
Otherhost:
Secondary
Group1State:
Failed
Activetime:
169(sec)
Group2State:
Failed
Activetime:
455(sec)
在ASA-2上#showfailover
Thishost:
Secondary
Group1State:
Active
Activetime:
197(sec)
Group2State:
Active
Activetime:
498(sec)
Otherhost:
Primary
Group1State:
Failed
Activetime:
276(sec)
Group2State:
Failed
Activetime:
0(sec)
当FO链路恢复正常时再通过抢占恢复各自的是active还是standby。
3.配置c1,c2子防火墙的IP和路由,均要在处于Active状态的子防火墙上配置,处于Standby状态的不能做任何配置。
ASA-1(config)#prompthostnameprioritystatecontext(修改“#”前面的显示字符,在物理设备下配置,这样便于查看)
#changetocontextc1(切换到c1子防火墙进行配置)
#interfaceGigabitEthernet0
nameifInside
security-level100
ipaddressstandby
#interfaceGigabitEthernet1
nameifOutside
security-level0
ipaddressstandbynetworknet1
subnetnat(Inside,Outside)dynamic(做NAT转换,将内部网络为的主机要访问外部转换为这个IP,且是PAT转换)
#routeInside(通往内部网络的路由)
在另外一台FO设备上:
#changetocontextc2(切换到c2防火墙进行配置)
#interfaceGigabitEthernet2
nameifInside
security-level100
ipaddressstandby
#interfaceGigabitEthernet3
nameifOutside
security-level0
ipaddressstandby
#objectnetworknet2
subnetnat(Inside,Outside)dynamic(做PAT地址转换)
#routeInside(通往内部网络的路由)
以上配置完成后,我们来看两个客户端PC1和PC2去访问Outside的路由器
升级会员 