Cisco防火牆HA實例

實驗環境：2臺ASA5508防火牆，組建HA使得一臺做爲主防火牆Active，另一臺平時做爲standby做爲備用防火牆。防火牆有3個端口，

        gi 1/1 端口爲outside出口   gi1/2 端口爲inside進口 gi 1/3 端口爲兩臺防火牆互鏈接口

實驗目的：使得兩臺防火牆互爲主備，平時只有一臺工做，另外一臺做爲熱備在線。等主防火牆故障後，備防火牆直接切換爲主防火牆繼續提供服務。

實驗網絡拓撲圖：

該實驗操做也支持其餘能夠作熱備的設備配置，作熱備的兩臺設備必須是同型號同版本的，如下查看是否能夠作熱備的配置：

ASA5508-Active# show version

首先配置第一臺防火牆，及主防火牆Active設備：

   ASA5508-Active# configure ter

   ASA5508-Active(config)#interface gi 1/1

   ASA5508-Active(config-if)#nameif outside

   ASA5508-Active(config-if)#security-level 0

   ASA5508-Active(config-if)# ip address 172.16.1.11 255.255.255.0 standby 172.16.1.12   //standby爲備用防火牆設備接口1的ip地址

   ASA5508-Active(config-if)#exit

   ASA5508-Active(config)#interface gi 1/2

   ASA5508-Active(config-if)#nameif inside

   ASA5508-Active(config-if)#security-level 100

   ASA5508-Active(config-if)#ip address 192.168.91.11 255.255.255.128 standby 192.168.91.12 //standby爲備用防火牆設備接口2的ip地址

   ASA5508-Active(config-if)#exit

   ASA5508-Active(config)#failover lan unit primary  //指定該設備的角色爲主防火牆

   ASA5508-Active(config)#failover lan interface failover gi1/3  //指定3號接口爲主備設備互聯接口（若是主備設備之間有多個端口鏈接，都需指定），

                                              本實驗主備設備之間只有一個相鏈接口，因此只需指定一個接口。

  ASA5508-Active(config)#failover link fover gi1/3   //指定狀態信息同步接口（即主備之間的配置信息同步接口），本實驗由於主備之間只有一個接口相連

                                     故本實驗能夠不用指定。

  ASA5508-Active(config)#failover interface ip failover 172.17.1.1 255.255.255.0 standby 172.17.1.2  //該IP地址是設置在接口3互聯的端口上，能夠

                                                                     隨意設置成本身定義的IP

  ASA5508-Active(config)#failover lan key cisco   //配置failover認證端口的密鑰，cisco能夠自定義，即設置主備設備之間接口3互相通信的密鑰爲cisco.

  ASA5508-Active(config)#failover   //主防火牆的全部配置都設置OK後，輸入該命令，即啓用熱備模式，注意，此命令必定要先在主設備上輸入，不然若是先在

                         備用設備輸入後，若是互聯線鏈接了，會致使把備用設備的配置覆蓋了主設備的配置。

  ASA5508-Active# show inter  //此時輸入show inter 會顯示接口3 位failover接口。

接下來配置備用設備standby設備：

  ASA5508-Standby(config)#interface gi 1/3

  ASA5508-Standby(config-if)#no shutdown

  ASA5508-Standby(config-if)#exit

  ASA5508-Standby(config)#failover lan unit secondary  //設置該設備爲備用狀態

  ASA5508-Standby(config)#failover lan interface failover gi1/3  //指定3號接口爲主備設備互聯接口（若是主備設備之間有多個端口鏈接，都需指定），

                                             本實驗主備設備之間只有一個相鏈接口，因此只需指定一個接口。

  ASA5508-Standby(config)#failover link fover gi1/3   //指定狀態信息同步接口（即主備之間的配置信息同步接口），本實驗由於主備之間只有一個接口相連

                                       故本實驗能夠不用指定。

  ASA5508-Standby(config)#failover interface ip failover 172.17.1.2 255.255.255.0 standby 172.17.1.1  //該IP地址是設置在接口3互聯的端口上，能夠

                                                                     隨意設置成本身定義的IP

   ASA5508-Active(config)#failover lan key cisco   //配置failover認證端口的密鑰，cisco能夠自定義，即設置主備設備之間接口3互相通信的密鑰爲cisco.

  ASA5508-Active(config)#failover   //即啓用熱備模式，注意，此命令必定要先在主設備上輸入，不然若是先在備用設備輸入後，若是互聯線鏈接了，

                           會致使把備用設備的配置覆蓋了主設備的配置。

  至此兩臺設備同步信息後，配置只能在Active主設備上進行，備用設備hostname會喝主設備相同。能夠經過show failover 查看，或者使用命令：

  ASA5508-Active(config)#prompt hostname priority state  顯示該設備的狀態state

   ASA5508-Active/pri/act(config)#    //紅色字體表示該設備爲主設備的狀態爲activer活動狀態，即當前工做的是該主設備。  

   登陸備用設備查看

   ASA5508-Standby(config)#prompt hostname priority state 顯示該設備的狀態state

   ASA5508-Standby/sec/stby(config)#  //紅色字體表示該設備爲備用設備的狀態爲stby備用狀態，即當前工做的是該主設備

   其餘配置信息：

   好比登陸到主設備上輸入如下命令：

  ASA5508-Active/pri/act(config)#no failover active  //手動把主設備切換爲備用狀態 （默認若是主設備有問題會自動切換到備用設備工做狀態）

  ASA5508-Standby/sec/stby(config)#failover active   //手動備用設備切換爲active狀態