Cisco-ASA-Failover防火墙冗余.doc

FailoverFailover是思科防火墙一种高可用技术，能在防火墙发生故障时数秒内转移配置到另一台设备，使网络保持畅通，达到设备级冗余的目的。原理前提需要两台设备型号一样（型号、内存、接口等），通过一条链路连接到对端（这个连接也叫心跳线）。该技术用到的两台设备分为Active设备（Primary）和Stanby设备（Secondary）,这种冗余也可以叫AS模式。活跃机器处于在线工作状态，备用处于待机状态实时监控活跃设备是否正常。当主用设备发生故障后（接口down，设备断电），备用设备可及时替换，替换为Avtive的角色。Failover启用后，Primary设备会同步配置文件文件到Secondary设备，这个时候也不能在Scondary添加配置，配置必须在Active进行。远程管理Failover设备时，登录的始终是active设备这一点一定要注意，可以通过命令（show failover）查看当时所登录的物理机器。目前启用failover技术不是所有状态化信息都可以同步，比如NAT转换需要再次建立。配置Active设备：interface Ethernet0 nameif outside security-level 0 ip address 7.7.4.10 255.255.255.0 standby 7.7.4.11 /standby为备份设备地址interface Ethernet1 nameif inside security-level 100 ip address 7.7.2.10 255.255.255.0 standby 7.7.2.11 ASA1(config)# failover lan unit primary /指定设备的角色主ASA1(config)# failover lan interface failover Ethernet2 /Failover接口名，可自定义ASA1(config)# failover link Fover Ethernet2 /状态信息同步接口ASA1(config)# failover interface ip failover 192.168.1.1 255.255.255.0 stan 192.168.1.2 /配置Failover IP地址,该网段可使用私网地址ASA1(config)# failover lan key xxxx /配置Failover 认证对端ASA1(config)# failover /启用Failover；注意，此命令一定要先在Active上输入，否则会引起配置拷错；将一个接口指定为failover 接口后，再show inter 的时候，该接口就显示为：interface Ethernet3description LAN Failover Interface /确保接口up配置standby设备：ASA2(config)# inte Ethernet3ASA2(configif)# no shutdownASA2(configif)# exitASA2(config)# failover lan unit secondaryASA2(config)# failover lan interface failover Ethernet03ASA1(config)# failover link Fover Ethernet2 ASA2(config)#failover inter ip failover 192.168.1.1 255.255.255.0 standby 192.168.1.2ASA2(config)# failover key xxxxASA2(config)# failover /先在Active设备运行此命令两台设备同步信息后，配置只能在Active进行，备份设备hostname会和主设备相同。远程网管时无法确定当前管理的设备，可使用show failover 查看，或者使用命令：ASA1(config)# prompt hostname priority state ASA1/pri/act(config)# /primary 设备active设备状态ASA1(config)# prompt hostname priority stateASA1/sec/stby(config)# /secondary设备 standby状态其他配置信息：No failover active /主设备切换为备份状态Failover active /切换为active状态Show run failover /查看配置Show failover /同ASA1(config)# show failover （以下是执行信息）Failover On /开启状态Failover unit Primary Failover LAN Interface: Fover GigabitEthernet2 (up)Unit Poll frequency 1 seconds, holdtime 15 secondsInterface Poll frequency 5 seconds, holdtime 25 secondsInterface Policy 1Monitored Interfaces 2 of 60 maximumVersion: Ours 8.4(2), Mate 8.4(2)Last Failover at: 21:05:31 UTC Apr 29 2016 This host: Primary - Standby Ready /主设备地址，是备份状态 Active time: 4440 (sec) Interface outside (7.7.4.11): Normal (Waiting) Interface inside (7.7.2.11): Normal (Waiting) Other host: Secondary - Active /备设备地址，目前是主用设备 Active time: 533 (sec) Interface outside (7.7.4.10): Unknown (Waiting) Interface inside (7.7.2.10): Unknown (Waiting)Stateful Failover Logical Update Statistics Link : Fover GigabitEthernet2 (up) Stateful Obj xmit xerr rcv rerr General 670 0 646 0 sys cmd 641 0 641 0 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 26 0 1 0 ARP tbl 2 0 3 0 Xlate_Timeout 0 0 0 0 IPv6 ND tbl 0 0 0 0 VPN IKEv1 SA 0 0 0 0 VPN IKEv1 P2 0 0 0 0 VPN IKEv2 SA 0 0 0 0 VPN IKEv2 P2 0 0 0 0 VPN CTCP upd 0 0 0 0 VPN SDI upd 0 0 0 0 VPN DHCP upd 0 0 0