一、A/A Failover 介紹安全
安全設備能夠成對搭配成A/A的FO來提供設備級的冗餘和負載分擔。blog
兩個設備在互爲備份的同時,也能同時轉發流量。接口
使用虛擬子防火牆是必須的,子防火牆被歸爲兩個FO組。事件
一個物理防火牆只會在一個FO組中成爲active。路由
二、A/A Failover對負載的處理部署
負載分擔不相干的流量it
每個物理設備都有一個這樣的active子防火牆ast
路由指向active的子防火牆,這些子防火牆分佈在兩個物理設備配置
負載分擔相關流量路由器
每一個物理設備都有一個這樣的active子防火牆
在鄰近的路由器設備上必須分割流量到兩個物理設備上的兩個active子防火牆上
返回流量必須特殊處理
三、Active context 的選舉
當一個安全設備啓動後,它開始一個FO選舉過程
當在FO接口檢測到一個正在協商的設備,本地FO組配置的Primary設備將變成active
若是它檢測到一個設備在兩個組中都是active,那它沒有檢測到設備,它在兩個FO組將變成active
若是兩個牆中有一個不健康,那麼健康的子牆在一個FO組裏將成爲active。
四、Failover切換事件
FO出如今設備或子防火牆級別上
當一個物理防火牆的一個組內的actvie成員出現故障,另外一個物理防火牆的standby成員將變成active
安全設備單元優先級不會改變
切換髮生後,IP和MAC地址在組成員之間被切換
五、Failover的鏈路類型
FO鏈路
狀態化鏈路
兩個Failover鏈路在系統執行空間裏配置
六、A/A的Failover部署方針
部署方針和A/S高可用性FO基本同樣
要求和限制通A/S高可用性FO同樣,下面羅列了額外的問題:
A/A的FO只有設備是多模模式纔可以使用,透明牆的限制
DHCP reley
Dynamic routing protocols
Dynamic DNS
Multicast IP routing
Quality of Service
ASA505不支持A/A的Failover