ASA failover
Active-Standby網絡
一、做用:提供設備冗餘ide
二、物理概念:primary 和 secondary ,須要命令敲得,角色不會切換,測試
三、虛擬概念:active和standby ,須要選舉,角色能夠切換。加密
四、LAN-FO : 專門一個接口作心跳線,同步配置信息,切換的時候交換IP和MAC,健康情況等。blog
五、選舉方式:繼承
當一個ASA啓動的時候,它就開始了選舉得進程。接口
○ 若是它檢測到了一個正在協商的設備處於FO接口的另外一端,此時primary設備會成爲Active, Secondary設備成爲Standby。進程
○ 若是它檢測到了一個Active設備,它就會轉換成Standby狀態,即便它自己角色是primary。事件
○ 若是它沒檢測到設備,他將變爲Active狀態。ip
- 當它成爲Active設備以後,檢測到了另外一個active設備(可能由於以前fo接口的問題,檢測出現問題),那麼這兩個Actiive設備將從新協商角色
注: 上面得出的這些結論,都是基於兩臺設備均爲健康狀態。若是不是,那麼兩個設備中處於健康狀態的那個將成爲Active。
六、HA切換過程:
正常的FO切換事件
○ 若是Active設備出現故障,那麼處於standby的設備將會成爲Active
當切換髮生時
○Standby設備在全部接口上繼承原來Active設備的屬性(IP和MAC地址)
○ 例外:FO以太接口的地址保持不變。
若是Failover 斷了,就會出現雙活
七、 Failover的管理
○ 只須要在Active設備上進行配置
○ active設備上全部配置的變化,都被自動複製到standby設備
○ standby設備能夠登錄,作基本的監控和管理
八、 部署Failover的必要條件
○ 硬件需求同樣,接口模塊都要同樣
○ 軟件需求同樣,工做模式,版本,子版本必需相同,維護版本能夠不同,可是會報錯,爲之後不間斷升級用。
○ 受權需求,沒必要如出一轍,只要有Fo受權便可
九、 無狀態化的FO(默認)
僅僅提供硬件冗餘
當切換時,全部鏈接會話都會斷,
用戶必須從新創建鏈接
狀態化的FO(須要敲命令)
兩個設備之間須要狀態化鏈路(是FO外的另外一條鏈路)
硬件和狀態話表項的冗餘。
用戶不必從新創建鏈接
十、Failover接口類型
LAN FO 接口
心跳線,同步配置,交換ip地址和MAC地址
Link FO 接口
用於傳遞狀態信息到Standby
建議使用獨立接口,不推薦使用子接口或和FO共享
十一、狀態話同步表項
注:http不一樣步,由於http不少都是瞬時協議,默認沒有開啓,能夠命令開啓。
十二、Failover健康監控
單元健康監控
ASA經過監控FO鏈路來肯定其餘單元的健康情況
當收不到來自Active設備的響應時,切換髮生
接口健康監控(二層要通)
每一個網絡接口均可以被監控
設備經過監控接口的Hello消息
當Active設備上一個被指定爲監控接口出現故障時,切換髮生
1三、無狀態化A/S的FO配置
配置橋接設備,也就是交換機,記得接口作端口快速。
初始化Primary接口
hostname ASA
interface GigabitEthernet0/0
nameif Outside
security-level 0
ip address 172.16.100.10 255.255.255.0 standby 172.16.100.20
interface GigabitEthernet0/1
nameif Inside
security-level 100
ip address 10.1.1.10 255.255.255.0 standby 10.1.1.20
no shutdown
interface GigabitEthernet0/2
no shutdown
注意:須要primary ASA配置Standby IP
配置Primary FO
failover lan unit primary 指定本ASA爲FO的Primary設備
failover lan interface FO GigabitEthernet0/2 指定G0/2爲FO鏈路,接口名字爲FO
failover key cisco(可選)加密與驗證用密鑰
failover interface ip FO 192.168.1.10 255.255.255.0 standby 192.168.1.20 配置IP地址
failover 啓用FO功能
配置Secondary FO
無需配置除心跳線接口的其餘接口
interface GigabitEthernet0/2
no shutdown
failover lan unit secondary 指定本ASA爲FO的Secondary設備
failover lan interface FO GigabitEthernet0/2 指定G0/2爲FO鏈路,接口名字爲FO
failover key cisco(可選)加密與驗證用密鑰
failover interface ip FO 192.168.1.10 255.255.255.0 standby 192.168.1.20 配置IP地址
failover 啓用FO功能
配置主機名不會跟着切
prompt Hostname priority state 在主上配置
測試Hardware FO故障切換
FO不支持自動搶佔Active功能,須要ASA1上手動配置
ASA(config)# failover active
show failover 查看狀態
1四、狀態化A/S的FO配置
注意:下面的配置在無狀態化基礎之上配置
配置stateful (在主的設備配置)
interface GigabitEthernet0/3
no shutdown
failover link stateful GigabitEthernet0/3 指定3口爲stateful鏈路,接口名字爲stateful
failover interface ip stateful 192.168.2.10 255.255.255.224 standby 192.168.2.20 配置IP地址
注意:無需在ASA2上配置,由於FO鏈路能夠把配置同步到ASA2(secondary)
若是FO和stateful都使用一個口,配置以下:
failover
failover lan unit primary
failover lan interface failover GigabitEthernet0/2
failover link failover GigabitEthernet0/3
failover interface ip failover 12.16.101.1 255.255.255.224 standby 12.16.101.2 兩條鏈路的名字要一致
1五、微調選項
默認FO的標準
單元標準
輪詢時間間隔默認1s
Hold時間間隔默認15s 對應命令 failover polltime unit msec 300 holdtime 15 這個能夠調爲毫秒
接口標準
輪詢時間間隔默認5s
hold時間間隔默認25s 對應命令 failover polltime interface msec 300 holdtime 15 這個也能夠調爲毫秒,默認子接口不發,也不監控
接口策略:觸發FO切換的故障接口數量默認1個 對應的命令 interface policy 1
還能夠只監控某個接口,若接口失敗,切換觸發 monitor-interface Inside
還能夠針對接口總數的百分比來切換 50% interface policy 50%
固定Active和Standby MAC地址
環境需求
若是備機起來了,主的沒起來,ip地址以前有配置,那麼沒問題,可是mac地址殊不知道主的,這樣就能用備的MAC地址,可是當主起來,切到主,主用主的mac,就會出現arp問題。
failover mac addeess Inside 0000.0000.1111(主) 0000.0000.2222(備)
failover mac addeess Outside 0000.0000.3333(主) 0000.0000.4444(備)
- 1. ASA failover --AA
- 2. ASA failover應用
- 3. 思科ASA部署Failover(Active/Standby)
- 4. ASA入門實驗之failover Active/Active
- 5. CISCO ASA配置Failover+透明模式
- 6. Cisco ASA-ASA 8.2-L2L ***
- 7. ASA防火牆之failover的介紹及配置
- 8. Cisco ASA firewall swap
- 9. failover?
- 10. ASA
- 更多相關文章...
- • Redis哨兵(Sentinel)模式的配置方法及其在Java中的用法 - Redis教程
- • HTTP content-type - HTTP 教程
- • Flink 數據傳輸及反壓詳解
-
每一个你不满意的现在,都有一个你没有努力的曾经。